da Redazione | Set 29, 2025 | Diritto d'Impresa
L’utilizzo e la raccolta di dati sanitari per finalità di ricerca e sviluppo di sistemi di Intelligenza Artificiale ha finalmente trovato una disciplina positiva nella Legge 23 settembre 2025, n. 132, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”.
L’intervento del legislatore nazionale è finalizzato a disciplinare l’uso dei sistemi di intelligenza artificiale all’interno dell’ordinamento italiano. La novella, approvata a seguito di un ampio dibattito parlamentare, si colloca nel solco delle più recenti iniziative dell’Unione europea, ed in particolare del Regolamento (UE) 2024/1689, noto come AI Act, del quale costituisce necessario completamento con riferimento a profili che l’ordinamento europeo ha espressamente rimesso alla discrezionalità degli Stati membri.
La legge si articola in ventotto articoli, raccolti in sei capi, che spaziano dai principi generali e finalità, alle disposizioni di settore, fino alla definizione della strategia nazionale per l’intelligenza artificiale, alla tutela degli utenti, alle misure in materia di diritto d’autore e alle previsioni penali e finanziarie.
Si tratta di una normativa che intende coniugare l’esigenza di promuovere lo sviluppo e la diffusione delle tecnologie digitali avanzate con quella, parimenti essenziale, di preservare i diritti fondamentali della persona, la sicurezza e l’equilibrio del sistema democratico. In questo contesto il legislatore ha posto particolare attenzione all’uso dei dati personali, e in modo precipuo dei dati sanitari, quale ambito privilegiato nel quale si manifesta la tensione tra progresso scientifico e tutela della dignità individuale.
L’obiettivo del presente contributo è quello di illustrare le principali novità introdotte dalla Legge 132/2025 in materia di trattamento dei dati personali e, in particolare, dei dati sanitari per finalità di ricerca e sviluppo di sistemi di intelligenza artificiale. L’analisi verterà dunque sugli articoli che, all’interno della nuova disciplina, recano disposizioni innovative su ricerca, sperimentazione e sanità digitale, rinviando ad un successivo approfondimento l’esame delle deleghe al Governo e delle rilevanti disposizioni penali contenute nella legge.
Principi generali e ambito di applicazione della Legge sull’IA
Il quadro introduttivo della Legge 132/2025 si fonda sulla consapevolezza che lo sviluppo dei sistemi di intelligenza artificiale non possa essere affidato a dinamiche puramente tecnologiche o di mercato, ma debba radicarsi in un impianto giuridico volto a preservare i valori fondamentali dell’ordinamento.
Già all’articolo 1 emerge la finalità di assicurare un impiego dell’intelligenza artificiale conforme ad una prospettiva antropocentrica, rispettosa dei diritti e delle libertà della persona, nonché attenta ai possibili rischi sociali ed economici derivanti da un utilizzo improprio o incontrollato di tali tecnologie.
L’art. 3 specifica ulteriormente i principi generali della disciplina, affermando il rispetto dei diritti fondamentali, delle libertà costituzionali e dello svolgimento con metodo democratico della vita istituzionale e politica, fino a prevedere espressamente che l’uso dei sistemi di intelligenza artificiale non possa in alcun modo pregiudicare la libertà del dibattito democratico né favorire interferenze illecite nella sfera pubblica.
La legge chiarisce altresì che l’applicazione dei sistemi di intelligenza artificiale deve avvenire secondo criteri di trasparenza, proporzionalità, accuratezza, non discriminazione, sostenibilità e sicurezza, estendendo tali principi all’intero ciclo di vita dei sistemi, dalla fase di progettazione fino alla concreta messa in uso. Particolare attenzione è dedicata alla cybersicurezza, che deve essere garantita attraverso misure idonee a prevenire alterazioni, usi distorti o compromissioni delle prestazioni e delle impostazioni di sicurezza.
Dati personali, informazione e utilizzo dell’IA da parte dei minori
Tra le disposizioni di maggiore rilievo della Legge 132/2025 si colloca l’articolo 4, che affronta in modo diretto il tema dell’informazione e della tutela dei dati personali nell’utilizzo dei sistemi di intelligenza artificiale. La norma, muovendo dai principi generali sanciti dagli articoli 1 e 3, introduce specifiche garanzie tese ad assicurare che la diffusione delle tecnologie digitali non determini una compressione della libertà di espressione, del pluralismo dei mezzi di comunicazione e della qualità dell’informazione.
L’impiego di soluzioni basate sull’intelligenza artificiale, pertanto, deve sempre rispettare i criteri di obiettività, completezza, imparzialità e lealtà, in un quadro che intende prevenire i rischi di manipolazione o distorsione dei processi informativi.
Sul piano della protezione dei dati personali, l’articolo 4 ribadisce l’applicazione dei principi del Regolamento (UE) 2016/679 e del Codice della privacy, estendendone la portata specificamente all’ambito dell’intelligenza artificiale. È richiesto che il trattamento avvenga in modo lecito, corretto e trasparente, e che sia compatibile con le finalità originarie della raccolta, in conformità al diritto europeo in materia di riservatezza. Si pone, inoltre, l’esigenza che le informazioni e le comunicazioni relative all’uso dei dati siano fornite agli interessati con linguaggio chiaro e comprensibile, così da garantire una consapevolezza effettiva dei rischi connessi e, al contempo, il pieno esercizio del diritto di opposizione.
Particolare rilievo assumono i dati sanitari, che rappresentano una delle categorie più sensibili e la cui utilizzazione richiede una particolare attenzione in termini di correttezza e proporzionalità del trattamento, soprattutto laddove impiegati per addestrare modelli di intelligenza artificiale in ambito medico e clinico.
Un’ulteriore novità riguarda la disciplina dell’accesso dei minori alle tecnologie di intelligenza artificiale. Per i soggetti infraquattordicenni è necessario il consenso di chi esercita la responsabilità genitoriale, consenso che deve estendersi anche al trattamento dei dati personali connessi all’utilizzo dei sistemi di IA. Per i minori che abbiano compiuto i quattordici anni è riconosciuta invece la facoltà di prestare direttamente il proprio consenso, purché le informazioni siano rese in forma facilmente accessibile e comprensibile.
Tale previsione si coordina con l’articolo 2-quinquies del Codice della privacy, che disciplina il consenso dei minori nei servizi della società dell’informazione, e conferma l’intento del legislatore di introdurre un sistema di protezione graduato, in cui la tutela dei dati sanitari e personali dei soggetti più vulnerabili costituisce principio cardine per un’implementazione responsabile delle nuove tecnologie.
Uso dell’intelligenza artificiale in ambito sanitario e disabilità
L’articolo 7 della Legge 132/2025 introduce principi e limiti specifici per l’impiego dei sistemi di intelligenza artificiale in ambito sanitario, con particolare attenzione alla tutela delle persone con disabilità. La norma, in linea con l’approccio antropocentrico che permea l’intero impianto legislativo, intende promuovere l’utilizzo delle tecnologie di nuova generazione a sostegno del sistema sanitario, ponendo al contempo garanzie idonee a prevenire possibili discriminazioni e abusi.
Viene così previsto che l’impiego di sistemi di intelligenza artificiale debba contribuire al miglioramento della prevenzione, della diagnosi e della cura delle malattie, sempre nel rispetto dei diritti, delle libertà e degli interessi della persona, nonché della normativa europea e nazionale in materia di protezione dei dati personali. In questo quadro, l’utilizzo dei dati sanitari può contribuire all’addestramento degli algoritmi, ma deve essere sottoposto a verifiche di attendibilità, sicurezza e aggiornamento periodico, così da ridurre al minimo il rischio di errori clinici e garantire un elevato livello di tutela per i pazienti.
Particolare rilievo è attribuito al divieto di subordinare l’accesso alle prestazioni sanitarie a criteri discriminatori attraverso l’uso di sistemi di intelligenza artificiale, ponendo così un argine a possibili distorsioni nell’erogazione delle cure. La legge sancisce inoltre il diritto dell’interessato a essere informato circa l’impiego di tecnologie di intelligenza artificiale nel percorso sanitario che lo riguarda, in linea con le prescrizioni dell’AI Act che qualifica tali sistemi come “ad alto rischio” e che impone ai fornitori specifici obblighi di trasparenza e sorveglianza. La dimensione informativa, in questo ambito, rappresenta un requisito imprescindibile per assicurare la consapevolezza del paziente e rafforzare il rapporto fiduciario con il professionista sanitario.
Un ulteriore elemento di innovazione riguarda la disabilità: l’articolo 7 valorizza il ruolo dei sistemi di intelligenza artificiale nello sviluppo di soluzioni tecnologiche idonee a favorire l’accessibilità, la mobilità indipendente, l’autonomia, la sicurezza e i processi di inclusione sociale delle persone con disabilità, anche in attuazione della disciplina sul progetto di vita individuale prevista dal decreto legislativo n. 62 del 2024.
In tal modo, l’utilizzo dei dati sanitari e dei sistemi di IA diventa funzionale non solo alla cura delle patologie, ma anche al miglioramento complessivo delle condizioni di vita, segnando un ampliamento dell’orizzonte applicativo delle tecnologie digitali nella prospettiva dei diritti delle persone più fragili.
Ricerca scientifica e dati sanitari di interesse pubblico
L’articolo 8 della Legge 132/2025 individua un perimetro di liceità specifico per i trattamenti di dati, anche appartenenti alle categorie particolari di cui all’articolo 9 del Regolamento (UE) 2016/679, finalizzati alla ricerca e alla sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale per scopi terapeutici e farmacologici.
La norma, richiamando espressamente gli articoli 32 e 33 della Costituzione e il fondamento di cui all’articolo 9, paragrafo 2, lettera g), del GDPR, dichiara di rilevante interesse pubblico tali trattamenti ove necessari alla costituzione e all’utilizzazione di banche dati e di modelli di base, con ciò approntando la base giuridica nazionale che consente di modulare, in chiave di proporzionalità e adeguate garanzie, le ordinarie restrizioni al trattamento dei dati sanitari.
La scelta legislativa persegue un duplice obiettivo: assicurare al sistema della ricerca condizioni normative certe e coerenti con l’AI Act e, al contempo, preservare l’essenza del diritto alla protezione dei dati personali mediante misure tecniche e organizzative adeguate, secondo un approccio risk-based. È significativo, in tale direzione, che la legge individui le finalità considerate di interesse pubblico, includendo prevenzione, diagnosi e cura delle malattie, sviluppo di farmaci, terapie e tecnologie riabilitative, realizzazione di apparati medicali e interfacce uomo-macchina, nonché ambiti di salute pubblica e sicurezza sanitaria, fino allo studio della fisiologia, della biomeccanica e della biologia umana anche in contesti non strettamente sanitari.
L’ampiezza del perimetro riflette l’esigenza di coprire l’intero ciclo di sviluppo dei sistemi di IA a vocazione clinica, rispetto ai quali i dati sanitari rappresentano il substrato informativo imprescindibile.
La dichiarazione di rilevante interesse pubblico appare strettamente correlata ai soggetti legittimati e alle condizioni operative. I trattamenti devono essere svolti da enti pubblici e privati senza scopo di lucro, dagli Istituti di ricovero e cura a carattere scientifico, ovvero da soggetti privati operanti nel settore sanitario nell’ambito di progetti di ricerca cui partecipino soggetti pubblici o privati no profit o IRCCS. In tal modo il legislatore costruisce un circuito virtuoso di cooperazione pubblico-privato ancorato a finalità scientifiche, così da scongiurare che l’eccezione in tema di dati sanitari si traduca in un indebito ampliamento degli spazi di trattamento per finalità meramente commerciali.
La mancanza, nel testo, di definizioni positive di “modello di base” e “banca dati” è compensata dal rinvio dinamico alle nozioni dell’AI Act e dall’ancoraggio funzionale alle fasi di realizzazione e impiego dei dataset e dei modelli, il che impone agli operatori una diligente attività di qualificazione tecnica e giuridica del trattamento, con particolare attenzione ai profili di documentazione, tracciabilità e spiegabilità.
Di particolare rilievo è la disciplina dell’uso secondario dei dati personali privi di elementi identificativi diretti. La legge consente che dati sanitari e altre categorie particolari siano riutilizzati, per le finalità di cui al comma 1, senza necessità di un ulteriore consenso dell’interessato, restando fermo l’obbligo informativo, anche mediante informativa generale sul sito del titolare.
La novella chiarisce che la legittimità del riuso non è subordinata alla ripetizione del consenso quando muti l’oggetto specifico del progetto di ricerca, purché il riuso rimanga all’interno del perimetro di interesse pubblico e siano assenti identificatori diretti. La disciplina, in coerenza con il GDPR, non affranca però dall’adozione di adeguate misure di garanzia: il trattamento deve restare proporzionato, necessario e accompagnato da presidi tecnici idonei a minimizzare il rischio di reidentificazione, mentre l’eccezione che consente la conoscenza dell’identità personale quando inevitabile o necessaria a tutela della salute tutela interessi vitali e consente la continuità del percorso clinico.
Sotto il profilo dogmatico, la previsione traduce in norma primaria il principio di compatibilità delle finalità nella ricerca, rafforzando la costruzione europea in tema di trattamenti ulteriori e tracciabilità dei flussi di Dati sanitari all’interno degli ecosistemi di ricerca e delle pipeline di addestramento dei modelli.
La norma affronta poi, con taglio operativo, il tema delle trasformazioni dei dati. È sempre consentito, previa informativa all’interessato, il trattamento volto all’anonimizzazione, alla pseudonimizzazione o alla sintetizzazione dei dati sanitari e delle ulteriori categorie particolari, sia per gli scopi di ricerca di cui al comma 1 sia per finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria. Tale disposizione valorizza strumenti tecnologici ormai centrali nella data governance dei sistemi di IA.
L’anonimizzazione, intesa come processo irreversibile, consente di sottrarre i dati all’ambito di applicazione della normativa in materia di protezione dei dati personali; la pseudonimizzazione, quale misura di sicurezza che mantiene la riconducibilità mediata attraverso informazioni aggiuntive separate, continua a integrare trattamento soggetto al GDPR; la sintetizzazione, infine, apre all’impiego di dati artificiali generati a partire da distribuzioni statistiche apprese, idonei a mitigare rischi di privacy leakage pur conservando utilità per addestramento e validazione dei modelli.
Nel valorizzare la soft law “tecnica”, l’articolo 8 contempla la possibile adozione di linee guida per le procedure di anonimizzazione e la creazione di dati sintetici, demandate all’Agenzia nazionale per i servizi sanitari regionali, previo parere del Garante, nel rispetto degli standard internazionali e dello stato dell’arte. Si tratta di un tassello rilevante per rendere effettivi i principi di privacy by design e by default, fornendo alla comunità scientifica e ai titolari del trattamento criteri uniformi, riproducibili e verificabili circa la qualità delle trasformazioni applicate ai Dati sanitari, la valutazione del rischio residuo di reidentificazione, le metriche di utilità e di distorsione, nonché i requisiti documentali delle operazioni svolte.
L’armonizzazione di tali prassi con i requisiti dell’AI Act in tema di qualità dei dati, robustezza, trasparenza e sorveglianza umana potrà agevolare l’immissione sul mercato di sistemi ad alto rischio, sostenendo la conformità sia in fase di sviluppo sia nella successiva vigilanza post-market.
Sul versante procedurale, la legge introduce un meccanismo di comunicazione preventiva al Garante per la protezione dei dati personali per i trattamenti e gli usi di cui ai commi 1 e 2, corredato dalle informazioni sulle misure organizzative e tecniche adottate, sulle valutazioni d’impatto, nonché sull’eventuale designazione dei responsabili del trattamento. I trattamenti possono iniziare decorsi trenta giorni dalla comunicazione, salvo blocco da parte dell’Autorità.
La scelta di sopprimere l’obbligo di preventiva approvazione da parte dei comitati etici, emerso nel corso dell’iter parlamentare, alleggerisce l’onere procedurale senza pregiudicare i poteri ispettivi, interdittivi e sanzionatori del Garante, che restano integri. In termini sistematici, il modello coniuga celerità dell’innovazione e tutela sostanziale, rimettendo alla qualità della DPIA, alla solidità delle misure di sicurezza di cui agli articoli 24, 25 e 32 del GDPR e alla trasparenza dei ruoli ex articolo 28 la condizione per un avvio responsabile dei progetti che trattano dati sanitari su larga scala.
Si è dell’avviso che l’articolo in commento possa produrre effetti dirompenti per l’ecosistema della ricerca biomedica e per lo sviluppo di sistemi di intelligenza artificiale in ambito clinico. La dichiarazione di interesse pubblico, combinata con la disciplina dell’uso secondario e con la legittimazione di tecniche di anonimizzazione e dati sintetici, attenua gli ostacoli derivanti dalla frammentazione dei consensi e dalla rigidità delle basi giuridiche, senza recedere dalle garanzie del GDPR.
Ne derivano, in concreto, traiettorie nuove per la costruzione e la condivisione di dataset di qualità, per la validazione esterna dei modelli, per la replicabilità degli studi e per l’integrazione dei dati sanitari nei flussi di telemedicina e sanità territoriale. Particolarmente rilevanti sono le opportunità per gli operatori del settore privato senza scopo di lucro, che potranno partecipare a progetti con enti pubblici e IRCCS beneficiando di un quadro giuridico certo, idoneo a facilitare la creazione di banche dati interoperabili e di modelli di base orientati alla sicurezza, all’accuratezza e alla tutela dei diritti fondamentali.
In tale cornice si innesta, peraltro, l’impulso sistemico derivante dagli investimenti pubblici in sanità digitale, come evidenziato dai progetti pilota in telemedicina, che potranno fungere da moltiplicatore per l’applicazione industriale e clinica dei sistemi di IA, sempre che la governance dei dati sanitari rispetti le metriche di qualità, i vincoli di minimizzazione e l’effettività delle misure di accountability.
Dati sanitari e normativa ministeriale di attuazione
L’articolo 9 della Legge 132/2025 si pone in stretta continuità con la disciplina delineata dall’articolo 8, introducendo una disposizione di carattere dinamico volta a garantire la concreta attuazione dei principi in materia di trattamento dei dati sanitari per finalità di ricerca e sperimentazione.
La norma prevede infatti che, entro centoventi giorni dall’entrata in vigore della legge, il Ministro della salute, sentiti il Garante per la protezione dei dati personali, gli enti di ricerca, le strutture sanitarie, le autorità competenti e gli operatori del settore, adotti un decreto finalizzato a definire le modalità operative del trattamento dei dati, anche appartenenti alle categorie particolari di cui all’articolo 9 del GDPR.
L’intento del legislatore è quello di predisporre una disciplina applicativa che consenta l’uso di modalità semplificate nei limiti massimi consentiti dal Regolamento europeo, favorendo così la ricerca scientifica e lo sviluppo di sistemi di intelligenza artificiale.
La previsione assume particolare rilievo poiché attribuisce al decreto ministeriale il compito di stabilire regole specifiche per la costituzione e l’utilizzo di spazi di sperimentazione dedicati, nei quali i dati sanitari potranno essere trattati anche per finalità di machine learning e addestramento di modelli di intelligenza artificiale.
Tale scelta normativa risponde all’esigenza di predisporre un ambiente regolatorio flessibile e al contempo sicuro, idoneo a consentire la sperimentazione di soluzioni tecnologiche innovative senza incorrere nei vincoli eccessivamente rigidi che potrebbero derivare dall’applicazione letterale delle disposizioni generali in materia di protezione dei dati personali. La prospettiva è quella di coniugare la necessità di accelerare i processi di ricerca e innovazione con l’obbligo di rispettare i principi di liceità, correttezza, trasparenza, minimizzazione e sicurezza sanciti dal GDPR e dal Codice della privacy.
Il rinvio alla fonte secondaria ministeriale rivela, inoltre, la consapevolezza del legislatore circa la continua evoluzione delle tecnologie di intelligenza artificiale e dei metodi di analisi dei dati sanitari. Solo attraverso strumenti di normazione flessibili sarà infatti possibile aggiornare costantemente il quadro delle garanzie e delle misure tecniche di protezione, anche tenendo conto dei pareri periodici del Garante e delle indicazioni provenienti dal livello europeo.
Dati sanitari, fascicolo sanitario elettronico e piattaforma nazionale di IA
Un ulteriore tassello del quadro normativo introdotto dalla Legge 132/2025 è rappresentato dall’articolo 10, che interviene sul decreto-legge n. 179 del 2012, recante disposizioni in materia di sanità digitale e fascicolo sanitario elettronico.
La norma inserisce nel corpo del decreto l’articolo 12-bis, dedicato specificamente all’impiego di soluzioni di intelligenza artificiale nel settore sanitario. L’obiettivo dichiarato è quello di garantire strumenti e tecnologie avanzate che, pur mantenendo un ruolo di supporto e non di sostituzione delle decisioni mediche, contribuiscano al miglioramento della qualità delle cure, al rafforzamento dell’assistenza territoriale e alla realizzazione di un modello integrato di sanità digitale.
La disciplina stabilisce che l’utilizzo delle soluzioni di intelligenza artificiale debba essere regolato da decreti ministeriali adottati dal Ministro della salute, di concerto con le autorità politiche competenti in materia di innovazione tecnologica, transizione digitale e cybersicurezza, previo parere della Conferenza Stato-Regioni. Tale procedura evidenzia l’intento di collocare l’uso dell’IA in sanità all’interno di un sistema di governance multilivello, che coinvolga sia le istituzioni centrali sia quelle territoriali, in un’ottica di leale collaborazione e di uniformità di applicazione delle regole.
Elemento centrale è l’istituzione di una piattaforma nazionale di intelligenza artificiale, affidata all’Agenzia nazionale per i servizi sanitari regionali (AGENAS), che ne diventa titolare e responsabile del trattamento dei dati sanitari raccolti e generati al suo interno. La piattaforma è destinata a fornire servizi di supporto non vincolanti ai professionisti sanitari nella presa in carico dei pazienti e nella pratica clinica quotidiana, nonché a consentire agli utenti l’accesso ai servizi sanitari territoriali e alle Case di Comunità. Si configura dunque uno strumento di grande rilevanza operativa, che, pur non sostituendo la valutazione clinica, potrà orientare le scelte terapeutiche e facilitare la gestione delle informazioni sanitarie in modo coordinato ed efficiente.
L’alimentazione della piattaforma avverrà attraverso i dati (inclusi i dati sanitari) trasmessi dai titolari del trattamento, selezionati sulla base del principio di stretta necessità e nel rispetto delle regole del Regolamento (UE) 2016/679. L’AGENAS, acquisiti i pareri del Ministero della salute, del Garante per la protezione dei dati personali e dell’Agenzia per la cybersicurezza nazionale, dovrà adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, specificando i tipi di dati trattati, le operazioni consentite e le modalità di tutela dei diritti fondamentali degli interessati.
Compliance privacy e trattamento dati in ambito sanitario. Al tuo fianco nello sviluppo di soluzioni AI-based
La disciplina introdotta dalla Legge 132/2025 segna un punto di svolta nel rapporto tra innovazione tecnologica, ricerca scientifica e tutela dei diritti fondamentali, con particolare riguardo al trattamento dei dati sanitari.
La complessità delle nuove disposizioni rende auspicabile per imprese ed enti di ricerca che lo sviluppo di progetti basati sull’Intelligenza Artificiale sia conforme alla normativa vigente, così da evitare di incorrere in responsabilità (anche penali) e, al contempo, valorizzare appieno le opportunità offerte dall’intelligenza artificiale.
Lo Studio Legale D’Agostino, con expertise consolidata nell’ambito del diritto delle nuove tecnologie, fornisce consulenza strategica e supporto operativo a chi intenda sviluppare progetti AI nel settore sanitario e della ricerca. Contattaci per un confronto!
da Redazione | Set 26, 2025 | Diritto d'Impresa
La delega di funzioni, nel diritto d’impresa, rappresenta da sempre un istituto controverso e foriero di numerose criticità applicative. Essa è stata oggetto di ampio dibattito sia in ambito penalistico, in relazione all’esonero del vertice societario da responsabilità per omesso impedimento di reati commessi dai delegati, sia in ambito civilistico, con riferimento alla responsabilità per inadempimenti contrattuali o danni arrecati alla società, sia, infine, nell’ambito del diritto amministrativo, in relazione ai profili di responsabilità contabile e alla gestione delle risorse.
In tale cornice giuridica, la disciplina in materia di cybersicurezza introdotta dal decreto NIS 2 ripropone, con nuova intensità, il tema della delega, sollevando interrogativi sul grado di responsabilità degli organi amministrativi e direttivi e sui limiti delle attività effettivamente delegabili.
L’obiettivo del presente contributo è analizzare le disposizioni del decreto NIS 2, con particolare attenzione all’art. 23 del D. Lgs. 138/2024, e ai chiarimenti forniti dall’Agenzia per la Cybersicurezza Nazionale (ACN), al fine di comprendere chi siano i soggetti chiamati a rispondere degli obblighi di governance in materia di cybersicurezza e quali margini residuino per l’operatività della delega di funzioni.
La questione non è meramente tecnica, poiché dalle scelte interpretative discendono ricadute significative per la responsabilità dei vertici societari e per la stessa organizzazione dei sistemi di gestione della sicurezza informatica.
Organi amministrativi e direttivi nel decreto NIS 2
Il decreto NIS 2 individua con chiarezza gli organi responsabili della gestione della cybersicurezza all’interno delle organizzazioni classificate come soggetti essenziali o soggetti importanti. L’art. 23 del decreto stabilisce che gli organi di amministrazione e gli organi direttivi sono titolari di specifici obblighi, i quali vanno ben oltre la mera supervisione formale, imponendo un ruolo attivo nella definizione e nel controllo delle strategie di sicurezza informatica.
Ai sensi della Determinazione ACN n. 283727/2025, con la locuzione “organi di amministrazione” si fa riferimento principalmente al consiglio di amministrazione o ad organi ad esso assimilabili, dotati di potere di direzione e gestione; gli “organi direttivi”, invece, sono da intendersi quali strutture interne che partecipano, in base alla natura giuridica dell’ente, al governo dell’organizzazione e alla determinazione delle sue politiche.
Gli obblighi normativi si articolano in tre aree principali: in primo luogo, l’approvazione delle modalità di implementazione delle misure di gestione dei rischi; in secondo luogo, la sovrintendenza all’effettiva attuazione degli obblighi previsti dal decreto; infine, la responsabilità diretta per eventuali violazioni. A tali doveri si affianca un impegno specifico in materia di formazione, sia personale sia destinata ai dipendenti, affinché l’intera struttura aziendale acquisisca consapevolezza sui rischi informatici e sulle misure da adottare.
Invero ai sensi dell’art. 23 del D. Lgs. 138/2024:
«1. Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:
- a) approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate da tali soggetti ai sensi dell’articolo 24;
- b) sovrintendono all’implementazione degli obblighi di cui al presente capo e di cui all’articolo 7;
- c) sono responsabili delle violazioni di cui al presente decreto.
- Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:
- a) sono tenuti a seguire una formazione in materia di sicurezza informatica;
- b) promuovono l’offerta periodica di una formazione coerente a quella di cui alla lettera a) ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.
- Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti sono informati su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche di cui agli articoli 25 e 26».
Ne risulta un quadro di responsabilità diretta e personale che segna un significativo avanzamento rispetto alla normativa previgente, poiché non consente agli organi direttivi di limitarsi a un ruolo meramente formale, ma li investe di un dovere sostanziale di vigilanza e di governo della cybersicurezza.
Punto di contatto e sostituto: ruolo e limiti di responsabilità
Accanto agli organi di amministrazione e direttivi, il decreto NIS 2 introduce la figura del punto di contatto e del suo sostituto, come disciplinati dalla Determinazione ACN n. 283727/2025. Tali soggetti hanno la funzione primaria di garantire la costante interlocuzione tra l’organizzazione e l’Autorità nazionale competente NIS, curando l’attuazione degli adempimenti previsti dal decreto e gestendo, anche tramite il Portale NIS, i flussi informativi inerenti agli aggiornamenti annuali e alle notifiche di incidenti di cybersicurezza.
È tuttavia fondamentale sottolineare come, ai sensi delle FAQ pubblicate dall’ACN (PDC.3 e seguenti), il punto di contatto non assuma una responsabilità propria in ordine agli obblighi imposti dal decreto, ma svolga una funzione di collegamento e di cura dell’attuazione.
In altri termini, egli non risponde delle violazioni, in quanto l’art. 23 del decreto NIS 2 attribuisce la responsabilità ultima e non delegabile agli organi di amministrazione e direttivi. Analoga posizione si rinviene per il sostituto del punto di contatto, il quale, pur essendo abilitato a svolgere le medesime attività operative e ad interloquire direttamente con l’Autorità, rimane un soggetto di supporto privo di autonoma responsabilità giuridica.
Questa distinzione appare di grande rilievo sistematico: il legislatore ha inteso concentrare la responsabilità strategica in capo ai vertici societari, evitando che figure tecniche o operative, pur essenziali per l’attuazione quotidiana delle misure di cybersicurezza, si trovino a rispondere di obblighi che richiedono invece decisioni di indirizzo e governo.
La delega di funzioni nel diritto d’impresa: quadro generale
La delega di funzioni rappresenta uno degli istituti più problematici del diritto d’impresa, poiché consente al vertice societario di trasferire ad altri soggetti determinati compiti gestionali e, in parte, le relative responsabilità. La sua disciplina non si rinviene in un’unica fonte normativa, ma emerge dall’elaborazione giurisprudenziale e dall’applicazione trasversale nei diversi rami dell’ordinamento.
In sede penalistica, ad esempio, la Corte di Cassazione ha più volte ribadito che la delega può costituire causa di esclusione della responsabilità del vertice qualora presenti requisiti rigorosi: deve essere conferita per iscritto, circoscrivere con precisione l’ambito di competenza, attribuire al delegato reali poteri decisionali e di spesa, e deve essere effettivamente accettata dal delegato stesso. In difetto di tali condizioni, la responsabilità penale per l’omesso impedimento di reati permane in capo al soggetto apicale, ai sensi dell’art. 40, comma 2, c.p.
In ambito civilistico, la delega di funzioni si inserisce nel sistema delle responsabilità degli amministratori delineato dagli artt. 2381 e 2392 c.c., operando come strumento di ripartizione interna degli obblighi di gestione. L’amministratore che abbia conferito correttamente una delega può sottrarsi a responsabilità per inadempimenti imputabili al delegato, salvo che abbia omesso di vigilare sul corretto esercizio delle funzioni trasferite.
Analogamente, nel diritto amministrativo e contabile, la giurisprudenza contabile ha riconosciuto che la delega, se formalizzata e rispettosa dei requisiti di concretezza ed effettività, può esonerare l’organo delegante da responsabilità per danni arrecati alla pubblica amministrazione dal delegato.
Ciò che emerge trasversalmente è un principio costante: la delega di funzioni non può mai riguardare le scelte di indirizzo strategico e l’obbligo generale di vigilanza, che restano in capo all’organo apicale. La delega, quindi, non opera come strumento di deresponsabilizzazione totale, ma come meccanismo di distribuzione funzionale che consente un’organizzazione più efficiente dell’impresa.
In questo quadro, la disciplina introdotta dal decreto NIS 2 si inserisce pone in linea con una scia consolidata, ribadendo la centralità degli organi amministrativi e direttivi nella governance della cybersicurezza, ma al tempo stesso aprendo spazi di riflessione sul possibile utilizzo della delega per le attività di attuazione operativa.
I chiarimenti dell’ACN sulla delega di funzioni nel decreto NIS 2
Il nodo della delega di funzioni in materia di cybersicurezza è stato affrontato dall’Agenzia per la Cybersicurezza Nazionale (ACN) nelle FAQ pubblicate nei mesi estivi del 2025, le quali costituiscono un primo tentativo di precisazione interpretativa dell’art. 23 del D. Lgs. 138/2024.
Nella FAQ ODA.8 l’Agenzia ha chiarito che «gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti possono delegare al proprio interno lo svolgimento delle attività finalizzate all’assolvimento degli obblighi di cui all’articolo 23, commi 1 e 2 del decreto NIS».
Tuttavia, lo stesso documento precisa che la delega incontra limiti invalicabili: «ferma restando in capo agli organi di amministrazione e agli organi direttivi […] la responsabilità ai sensi dell’articolo 23 del decreto NIS di (i) approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica […] (ii) sovrintendere alla loro implementazione […] (iii) essere responsabili delle violazioni […] (iv) seguire una formazione in materia di sicurezza informatica; (v) promuovere l’offerta periodica di formazione per i dipendenti coerente con quella seguita dagli organi di amministrazione e direttivi».
Questi obblighi, individuati dall’art. 23 del decreto NIS 2, assumono la natura di obblighi di indirizzo e pianificazione strategica e, come tali, non sono suscettibili di delega.
La successiva FAQ ODA.9 ribadisce infatti che «la responsabilità ex articolo 23 del decreto NIS discende per legge in capo agli organi di amministrazione e direttivi» e che le attribuzioni appena richiamate “non sono delegabili”. Diversamente, la delega può riguardare soltanto «lo svolgimento delle attività finalizzate all’attuazione dei predetti obblighi», vale a dire gli aspetti più operativi connessi all’implementazione delle misure di cybersicurezza, senza che ciò comporti un trasferimento della responsabilità in capo al delegato.
Ne deriva che l’ACN delinea un sistema duale: da un lato, compiti di alto livello strategico, che restano inderogabilmente in capo agli organi amministrativi e direttivi; dall’altro, attività esecutive o tecniche, che possono essere delegate ma senza che la delega produca un esonero totale di responsabilità.
Resta infatti fermo, come ricorda l’Agenzia, quanto disposto dagli artt. 2381 e 2392 c.c., i quali ribadiscono il dovere generale di vigilanza degli amministratori deleganti. In tal senso, l’istituto della delega di funzioni nel decreto NIS 2 si conforma al modello tradizionale del diritto societario, che ammette la distribuzione di compiti, ma mantiene intatta la responsabilità degli organi apicali per le scelte strategiche e per la sorveglianza sull’operato dei delegati.
Profili critici e questioni irrisolte sulla delega di funzioni in cybersicurezza
Nonostante lo sforzo chiarificatore compiuto dall’ACN attraverso le FAQ ODA.8 e ODA.9, il tema della delega di funzioni nel contesto del decreto NIS 2 continua a sollevare rilevanti incertezze interpretative.
In particolare, appare problematica la definizione del perimetro delle attività che, pur potendo essere formalmente delegate, rimangono nella sostanza indissolubilmente connesse alla responsabilità strategica degli organi amministrativi e direttivi.
L’art. 23 del D. Lgs. 138/2024 stabilisce che tali organi devono approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica e sovrintendere alla loro implementazione. Ora, se è vero che la prima attività integra un obbligo di alta direzione, non suscettibile di alcuna delega, assai più difficile risulta tracciare un confine netto fra il dovere di “sovrintendere” e le “attività finalizzate all’attuazione” che, secondo l’ACN, sembrerebbero poter essere delegate.
Il concetto di sovrintendere implica infatti un controllo costante sull’attività di attuazione, così che la linea di demarcazione tra vigilanza strategica e gestione operativa si rivela labile. In concreto, il rischio è che una parte delle funzioni delegate continui ad attrarre la responsabilità degli organi apicali, anche laddove l’errore o l’omissione siano imputabili al delegato. Ne deriva una potenziale “zona grigia” nella quale l’efficacia liberatoria della delega di funzioni rimane incerta, esponendo i vertici societari a responsabilità difficilmente delimitabili.
Questa ambiguità appare tanto più rilevante in un settore come quello della cybersicurezza, nel quale l’attuazione delle misure richiede un elevato grado di specializzazione tecnica, che mal si concilia con il carattere prevalentemente strategico e di governo proprio degli organi di amministrazione e direttivi.
L’assenza di un confine chiaro tra attività di indirizzo e attività di esecuzione rischia dunque di compromettere la funzione stessa della delega di funzioni, trasformandola in uno strumento di mera distribuzione operativa, privo di reale capacità di incidere sulla sfera delle responsabilità.
Valutiamo in concreto la soluzione più adeguata. Supporto legale esperto in materia di cybersicurezza
La disciplina della delega di funzioni in materia di cybersicurezza, come delineata dal decreto NIS 2 e chiarita dall’ACN, evidenzia la centralità degli organi di amministrazione e direttivi nel governo strategico della sicurezza informatica, pur consentendo forme di delega operativa.
Rimane tuttavia una significativa incertezza interpretativa sul confine tra attività delegabili e non delegabili, che rischia di generare criticità applicative. In un simile contesto, assume rilevanza per imprese e pubbliche amministrazioni dotarsi di strumenti organizzativi adeguati, in grado di coniugare efficienza operativa e allocare in modo giusto le responsabilità.
Il nostro Studio legale, sotto la guida dell’Avv. Luca D’Agostino, vanta una specifica expertise in materia di cybersicurezza ,e offre supporto qualificato nell’implementazione dei modelli organizzativi e delle strategie di gestione del rischio informatico.
Contattaci per un confronto!
da Redazione | Set 25, 2025 | Diritto d'Impresa, Diritto civile
L’esclusione del socio rappresenta uno degli istituti di maggiore delicatezza nella disciplina delle società a responsabilità limitata, poiché incide direttamente sul rapporto contrattuale che lega il singolo socio alla compagine sociale e determina, in via definitiva, lo scioglimento del vincolo societario nei suoi confronti.
La possibilità di estromettere un socio dalla società si colloca in un’area di equilibrio complessa, in cui l’autonomia statutaria, riconosciuta e valorizzata dalla riforma del diritto societario, incontra i limiti imposti dalla legge a tutela sia del socio escluso sia degli interessi dei creditori sociali.
In questa prospettiva, l’istituto si caratterizza come strumento funzionale alla protezione dell’interesse collettivo dei soci e della società stessa, evitando che condotte inadempienti o comportamenti pregiudizievoli di un singolo possano compromettere l’attività comune.
Obiettivo del presente articolo è offrire un’analisi sistematica dei presupposti e delle condizioni che consentono l’esclusione del socio, approfondendo il ruolo della giusta causa, il procedimento deliberativo, le modalità di liquidazione della quota e le più recenti applicazioni pratiche nelle Srl e nelle start-up. In particolare, sarà posta attenzione agli scenari nei quali l’inerzia o l’irreperibilità di un socio possono tradursi in un ostacolo al funzionamento della società.
Tale esigenza si avverte in modo ancora più pressante nelle start-up innovative, dove l’esclusione del socio inattivo diventa spesso uno strumento necessario per prevenire situazioni di stallo decisionale e, soprattutto, per garantire la continuità dei rapporti con investitori, venture capital e finanziatori istituzionali.
Esclusione del socio: la disciplina normativa
La disciplina dell’esclusione del socio nelle società a responsabilità limitata si fonda su due norme centrali del Codice Civile, che offrono soluzioni diverse a seconda della natura dell’interesse tutelato.
L’art. 2466 c.c. disciplina l’ipotesi del socio moroso nel versamento dei conferimenti, imponendo agli amministratori un preciso percorso che si apre con la diffida ad adempiere e si conclude, in mancanza di soluzioni alternative, con la vendita coattiva della quota o, in ultima istanza, con l’esclusione del socio. In questa prospettiva, la norma risponde alla necessità di assicurare l’effettività del capitale sociale, a tutela non solo della società ma soprattutto dei creditori, i quali confidano nella consistenza patrimoniale della società quale garanzia delle proprie ragioni.
La disciplina assume carattere imperativo e lascia agli amministratori un margine di discrezionalità limitato, poiché l’inadempimento del socio incide direttamente su interessi esterni alla compagine.
Diversa è la logica sottesa all’art. 2473-bis c.c., introdotto con la riforma del 2003, che rappresenta una delle principali innovazioni del diritto societario. Esso attribuisce ai soci, attraverso l’atto costitutivo, la facoltà di prevedere specifiche ipotesi di esclusione del socio per giusta causa.
In tal modo, la Srl si caratterizza per un accento personalistico che la distingue dalla società per azioni, consentendo di tener conto non solo dell’apporto economico, ma anche della condotta e delle qualità personali dei soci. È tuttavia essenziale che la clausola statutaria sia redatta con particolare attenzione, poiché il legislatore richiede che le cause di esclusione siano puntualmente indicate e non affidate a formule generiche, pena la nullità.
Esclusione del socio e la nozione di giusta causa
Il concetto di giusta causa rappresenta il nucleo essenziale dell’esclusione del socio ai sensi dell’art. 2473-bis c.c. e costituisce il limite invalicabile all’autonomia statutaria nella predisposizione delle clausole che disciplinano tale istituto.
La norma, introdotta con la riforma del 2003, ha segnato una cesura rispetto al passato, attribuendo ai soci un’ampia libertà di individuare le ipotesi in cui sia consentita l’estromissione di un componente della compagine sociale, purché esse siano specifiche e riconducibili a giusta causa. L’assenza di tali requisiti comporta la nullità della clausola, come ribadito da una consolidata giurisprudenza di merito (Tribunale di Milano, 2013-2014; Tribunale di Napoli, 2020-2022), che ha sempre sottolineato l’esigenza di determinatezza e non genericità.
Il requisito della specificità impedisce che l’atto costitutivo si limiti a prevedere, in via astratta, l’esclusione del socio per giusta causa, rinviando a una valutazione discrezionale successiva da parte degli organi sociali. Occorre, invece, che lo statuto individui in modo chiaro le condotte o gli eventi che legittimano l’estromissione. Tale esigenza risponde a una duplice funzione: garantire la certezza dei rapporti interni e impedire abusi da parte della maggioranza, che potrebbe altrimenti utilizzare lo strumento in modo opportunistico per liberarsi di soci scomodi.
Il riferimento alla giusta causa opera quale filtro oggettivo: non è sufficiente la volontà della maggioranza, ma occorre che la fattispecie di esclusione corrisponda a un interesse meritevole di tutela e sia idonea a preservare l’ordinato svolgimento dell’attività sociale. Ne deriva che le ipotesi di esclusione devono presentare una stretta attinenza alla persona del socio, in modo che la sua condotta o la sua condizione abbiano una ricaduta diretta sull’organizzazione e sulla funzionalità della società.
In questa prospettiva, rientrano certamente le ipotesi di inadempimento ad obblighi previsti dalla legge o dall’atto costitutivo, ma anche eventi diversi dall’inadempimento, purché attinenti alla sfera personale del socio e potenzialmente pregiudizievoli per la società, come la perdita dei requisiti soggettivi essenziali, l’interdizione, l’inabilitazione o la condanna penale che comporti un discredito sulla società.
Una distinzione utile per comprendere la portata della giusta causa è quella tra inadempimenti e fatti diversi dall’inadempimento. Mentre nelle società di persone la legge prevede come regola generale l’esclusione per grave inadempimento, nelle Srl il legislatore ha scelto una via opposta, imponendo che anche le condotte inadempienti siano tipizzate espressamente nello statuto.
Ciò significa che non è sufficiente il richiamo generico all’obbligo di collaborazione o al vincolo fiduciario, tipico delle società personali: nella Srl è necessaria una clausola puntuale che ricolleghi l’esclusione del socio a un preciso obbligo violato. Solo in presenza di tale specificazione la clausola potrà dirsi conforme ai requisiti di validità.
Oltre agli inadempimenti, la giusta causa può riguardare circostanze ulteriori, purché collegate alla persona del socio e tali da incidere negativamente sul perseguimento dell’oggetto sociale. È in questa prospettiva che la dottrina e la giurisprudenza hanno ritenuto legittime clausole che prevedano, ad esempio, l’esclusione del socio che ostacoli il funzionamento dell’assemblea non partecipando alle riunioni e impedendo il raggiungimento dei quorum, o che abusi del diritto di informazione e consultazione dei documenti sociali esercitandolo in modo ostruzionistico o in funzione concorrenziale.
Viceversa, sono state giudicate invalide le clausole che si limitano a richiamare formule vaghe, come quelle che parlano di “gravi inadempienze che impediscano il perseguimento dello scopo sociale”, perché lasciano agli organi sociali una valutazione discrezionale incompatibile con il principio di specificità.
Altro profilo da considerare riguarda la proporzionalità: l’esclusione del socio deve essere uno strumento adeguato e proporzionato rispetto al danno potenziale arrecato all’interesse sociale. La condotta del socio deve presentare un grado di serietà tale da giustificare l’espulsione, analogamente a quanto previsto dall’art. 1455 c.c. in materia di inadempimento contrattuale. Non ogni inadempimento, dunque, legittima l’esclusione, ma solo quelli che incidono in maniera significativa sull’attività e sull’organizzazione della società.
In definitiva, la giusta causa si configura come un criterio oggettivo che bilancia l’autonomia statutaria e la tutela dell’interesse sociale: essa delimita il perimetro entro cui i soci possono muoversi nella redazione dello statuto, evitando che l’esclusione del socio diventi uno strumento arbitrario. La sua corretta definizione consente di coniugare due esigenze contrapposte: da un lato, garantire stabilità e continuità alla società, dall’altro, assicurare al socio escluso un adeguato livello di tutela delle proprie posizioni giuridiche.
Esclusione del socio inattivo o irreperibile nelle Srl e nelle start-up
Una questione particolarmente delicata nell’ambito dell’esclusione del socio riguarda l’ipotesi del socio inattivo o irreperibile, fenomeno tutt’altro che raro nelle start-up e nelle piccole società a responsabilità limitata. Accade frequentemente che un socio, in seguito a divergenze con gli altri membri o per semplice disinteresse, smetta di partecipare alla vita sociale, abbandonando di fatto la società senza tuttavia cedere le proprie quote.
Tale situazione può determinare conseguenze gravi, specialmente quando il socio inattivo detiene una partecipazione significativa, ostacolando il regolare funzionamento dell’assemblea e precludendo l’adozione delle delibere necessarie alla gestione e allo sviluppo della società.
La prassi notarile ha riconosciuto la legittimità di clausole statutarie che prevedono l’esclusione del socio inattivo, ritenendo che l’interesse della società debba prevalere sul mero disinteresse individuale. In particolare, si è affermata la validità di previsioni che consentono l’estromissione del socio che, per un periodo significativo – ad esempio ventiquattro mesi – non partecipi ad alcuna assemblea. Si tratta di un’interpretazione che tutela l’operatività della società, prevenendo il rischio di scioglimento per impossibilità di funzionamento, previsto dall’art. 2484 c.c.
Nelle start-up, la rilevanza di questa clausola è ancora più evidente: la presenza di un socio inattivo può compromettere l’accesso a investimenti e finanziamenti, scoraggiando venture capital e partner istituzionali. L’esclusione del socio inattivo diviene, pertanto, uno strumento essenziale per salvaguardare la continuità aziendale e garantire la stabilità dei rapporti interni.
La centralità dello statuto e delle clausole di esclusione del socio
Si è dunque chiarito che l’esclusione del socio in una società a responsabilità limitata trova il suo fondamento nella previsione statutaria. L’art. 2473-bis c.c. stabilisce, infatti, che l’atto costitutivo può contemplare ipotesi specifiche di esclusione per giusta causa. Da ciò discende la centralità dello statuto quale strumento di disciplina dei rapporti tra soci e di prevenzione delle situazioni di conflitto o stallo.
Una clausola generica, che si limiti a rinviare ad una “giusta causa” indeterminata, è invalida, poiché la norma impone la puntuale indicazione degli eventi o comportamenti che possono giustificare l’estromissione.
In questa prospettiva, è essenziale che le clausole statutarie siano redatte con precisione, contemperando l’interesse della società alla continuità operativa con la tutela dei diritti del singolo socio. La specificità richiesta dal legislatore non impedisce, tuttavia, di considerare un’ampia gamma di ipotesi, che possono spaziare dall’inadempimento di obblighi sociali alla perdita di requisiti soggettivi, fino alla condanna penale o allo svolgimento di attività concorrenziale.
Nelle start-up, la redazione dello statuto riveste un ruolo strategico, poiché spesso i soci fondatori sottoscrivono anche patti parasociali o piani di equity che fissano impegni operativi e obblighi di collaborazione attiva. Tali accordi, se richiamati nello statuto o trasfusi in clausole di esclusione redatte con precisione, garantiscono che il venir meno del contributo promesso da un socio possa legittimare la sua estromissione.
Il procedimento di esclusione del socio
L’esclusione del socio in una S.r.l. deve seguire un procedimento conforme ai principi generali dell’ordinamento e alle previsioni dell’atto costitutivo. La legge non disciplina in modo puntuale le modalità attraverso le quali l’esclusione deve essere deliberata, rinviando così all’autonomia statutaria. In mancanza di previsioni specifiche, la dottrina e la giurisprudenza prevalente hanno ritenuto che la competenza spetti ai soci, riuniti in assemblea.
La decisione deve essere adeguatamente motivata, richiamando la clausola statutaria e i fatti che integrano la giusta causa di esclusione. È inoltre necessario che il socio interessato sia posto in condizione di conoscere le contestazioni mosse a suo carico e di esercitare il diritto di difesa. Per questo motivo, la deliberazione o la decisione dell’organo competente deve essere comunicata al socio escluso in forma idonea e tempestiva.
Il socio, dal canto suo, dispone di strumenti di tutela. Può impugnare la delibera di esclusione ai sensi dell’art. 2479-ter c.c., entro novanta giorni, oppure proporre opposizione dinanzi al tribunale, sulla base delle regole generali. In pendenza di giudizio, può anche richiedere la sospensione cautelare degli effetti della delibera, così da evitare che l’esclusione produca conseguenze irreversibili prima della decisione giudiziale.
Liquidazione della quota del socio escluso
La fase successiva all’esclusione del socio riguarda la liquidazione della sua partecipazione, che rappresenta il momento più delicato sotto il profilo della tutela patrimoniale e della continuità aziendale.
L’art. 2473-bis c.c. rinvia alla disciplina del recesso per quanto concerne i criteri di rimborso, ma introduce una differenza significativa: è esclusa la possibilità di liquidare la partecipazione attraverso la riduzione del capitale sociale. Questa scelta normativa riflette l’esigenza di tutelare l’integrità del patrimonio sociale a garanzia dei creditori, subordinando l’interesse dei soci al mantenimento della stabilità dell’impresa.
Il rimborso della quota deve quindi avvenire mediante l’acquisto da parte degli altri soci o di terzi individuati dalla compagine, oppure, in mancanza, attraverso l’utilizzo delle riserve disponibili. Qualora non sia possibile procedere al rimborso entro i termini stabiliti dalla legge, si apre un tema di forte criticità: parte della dottrina ritiene che la delibera di esclusione divenga inefficace, mentre altri autori ammettono come extrema ratio la liquidazione della società stessa, equiparando il caso a quello di impossibilità di rimborso nel recesso.
Sul piano pratico, resta centrale la corretta valutazione della quota. Essa deve essere determinata in base al valore effettivo del patrimonio sociale, con possibilità, secondo alcune opinioni, di introdurre nello statuto criteri di liquidazione anche meno favorevoli per il socio escluso, purché la clausola sia espressa con chiarezza e nel rispetto dei principi di buona fede e parità di trattamento.
Assistenza legale dedicata ed esperienza in materia di diritto d’impresa
La disciplina dell’esclusione del socio nelle società a responsabilità limitata dimostra come l’ordinamento richieda un delicato bilanciamento tra la tutela dell’interesse collettivo alla prosecuzione dell’attività sociale e la salvaguardia dei diritti individuali del socio estromesso. Si tratta di situazioni che, se non regolate preventivamente nello statuto, possono sfociare in conflitti paralizzanti per la società, rendendo necessario un intervento giuridico anche in sede contenziosa.
Lo Studio Legale D’Agostino, attivo nel campo del diritto d’impresa e dell’assistenza a start-up innovative, offre competenze consolidate nella redazione di statuti, patti parasociali e strumenti contrattuali idonei a prevenire contenziosi, nonché nell’affrontare le problematiche legate all’esclusione o al recesso del socio in una prospettiva di tutela strategica e conforme alla normativa vigente.
Contattaci per un primo confronto.
da Redazione | Set 22, 2025 | Diritto d'Impresa
La redazione di un’informativa privacy rappresenta oggi un adempimento imprescindibile per qualunque soggetto che gestisca un sito web o una piattaforma digitale. La disciplina europea in materia di protezione dei dati personali, confluita nel Regolamento (UE) 2016/679 (GDPR), impone infatti al titolare del trattamento di garantire agli utenti un’informazione chiara, trasparente e completa circa le modalità con cui i loro dati vengono raccolti, utilizzati, conservati e, se del caso, comunicati a terzi.
L’obiettivo del presente contributo è illustrare, in termini sistematici, quali siano gli elementi essenziali che un’informativa privacy deve contenere per essere conforme alla normativa, nonché le principali cautele redazionali da osservare affinché tale documento assolva effettivamente alla funzione di tutela sostanziale dell’interessato.
Verranno pertanto analizzati i profili fondamentali relativi alla qualificazione del titolare, all’individuazione dei dati trattati, alla determinazione delle finalità e delle basi giuridiche, alle modalità di trattamento e di conservazione, all’indicazione dei terzi destinatari e, infine, alla descrizione dei diritti riconosciuti agli interessati.
Lo scopo è fornire al lettore una guida operativa, con esempi tratti dalla prassi dei siti web e delle piattaforme digitali, per comprendere come un’informativa privacy debba essere predisposta ed efficacemente resa disponibile al pubblico.
Informativa privacy e fonti normative
L’informativa privacy trae la propria disciplina da un corpus normativo complesso, che ha come fulcro il Regolamento (UE) 2016/679, noto come GDPR. In particolare, gli articoli 13 e 14 del Regolamento prescrivono l’obbligo per il titolare del trattamento di rendere all’interessato una comunicazione chiara, comprensibile e completa circa le caratteristiche essenziali del trattamento dei dati personali.
Si tratta di una previsione che non ha natura meramente formale, ma che risponde all’esigenza sostanziale di garantire il principio di trasparenza, espressamente richiamato all’articolo 5, paragrafo 1, lettera a) del GDPR, quale criterio cardine dell’intero sistema di protezione dei dati. L’informativa privacy si colloca dunque al crocevia tra l’obbligo giuridico gravante sul titolare e il diritto fondamentale dell’interessato ad essere informato circa le modalità di trattamento dei propri dati, così da poter esercitare in maniera consapevole le prerogative riconosciute dagli articoli 15 e seguenti del Regolamento.
Nel contesto nazionale, la disciplina europea è stata integrata dal d.lgs. 30 giugno 2003, n. 196 (c.d. Codice Privacy), come modificato dal d.lgs. 101/2018, che ha adeguato l’ordinamento interno alle disposizioni europee. Tale decreto legislativo ha conservato alcune specificità dell’ordinamento italiano, con riferimento, ad esempio, ai poteri del Garante per la protezione dei dati personali e ai profili di tutela amministrativa e giudiziaria.
Ne consegue che la redazione di un’informativa privacy per un sito web o per una piattaforma digitale debba necessariamente tener conto non solo delle prescrizioni generali del GDPR, ma anche delle disposizioni nazionali di raccordo, così da risultare conforme al sistema “multilivello” di protezione dei dati personali.
L’informativa privacy dovrebbe riflettere, fedelmente, le specifiche modalità operative adottate dal titolare. Ne sono esempio i siti di e-commerce che trattano dati per finalità di fatturazione e spedizione, oppure le piattaforme SaaS che gestiscono informazioni relative agli utenti registrati e ai log tecnici: in entrambi i casi, è opportuno che l’informativa privacy descriva le attività di trattamento in maniera precisa, evitando genericità che comprometterebbero il diritto dell’utente a comprendere pienamente come i propri dati vengono utilizzati.
Informativa privacy e ruolo del titolare del trattamento
Uno degli elementi essenziali che l’informativa privacy deve sempre contenere riguarda l’individuazione del titolare del trattamento. Il GDPR, all’articolo 4, n. 7, definisce il titolare come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento dei dati personali.
In termini concreti, nel contesto di un sito web o di una piattaforma digitale, il titolare coincide con il soggetto che gestisce il servizio e che, di conseguenza, decide quali dati raccogliere, per quali ragioni utilizzarli e con quali strumenti trattarli. La mancata indicazione del titolare nell’informativa privacy rappresenta una grave lacuna, poiché priva l’utente della possibilità di sapere a chi rivolgersi per esercitare i propri diritti e compromette la trasparenza dell’intero trattamento.
È importante sottolineare che l’informativa privacy deve riportare non solo la denominazione del titolare, ma anche i dati di contatto, al fine di consentire all’interessato di instaurare un canale diretto di comunicazione. Nei casi in cui il trattamento sia connesso a piattaforme articolate, che operano attraverso l’interazione tra più soggetti (si pensi a un marketplace o a un servizio SaaS erogato a imprese terze), l’informativa privacy deve chiarire se vi siano contitolarità o rapporti di responsabilità tra i diversi soggetti coinvolti, conformemente a quanto previsto dagli articoli 26 e 28 del GDPR.
Per esempio, una piattaforma che consente ad aziende clienti di somministrare questionari online dovrà distinguere i dati trattati in proprio (account, log, fatturazione) da quelli gestiti per conto dei clienti, precisando ruoli e responsabilità.
Informativa privacy e categorie di dati personali trattati
Un ulteriore elemento fondamentale che deve emergere con chiarezza dall’informativa privacy riguarda le categorie di dati personali oggetto di trattamento. La trasparenza in ordine ai dati raccolti è infatti condizione essenziale per permettere all’interessato di comprendere la portata del trattamento e valutare, in modo consapevole, l’utilizzo dei servizi offerti da un sito web o da una piattaforma digitale.
Il GDPR, pur non imponendo una catalogazione rigida, richiede che siano specificati i dati effettivamente trattati in relazione alle finalità perseguite. Ciò implica che l’informativa privacy non possa essere redatta con formule vaghe o generiche, ma debba descrivere concretamente quali informazioni vengano richieste e registrate.
Per i siti web di uso comune, è frequente la raccolta di dati anagrafici e di contatto (nome, cognome, indirizzo e-mail), a cui possono aggiungersi dati di navigazione come indirizzi IP, cookie o identificativi di sessione. Nei casi di piattaforme che consentono la creazione di un account personale, l’informativa privacy dovrà menzionare anche i dati relativi alle credenziali di accesso, alle preferenze espresse dall’utente e ai log di attività.
Nei servizi di e-commerce assumono particolare rilievo i dati di fatturazione e di spedizione, mentre nelle piattaforme SaaS possono essere trattati dati riconducibili agli utenti invitati dal cliente o a soggetti terzi che interagiscono con il sistema.
È necessario distinguere, inoltre, tra dati trattati direttamente dal titolare e dati che, pur transitando sulla piattaforma, rientrano nella titolarità di altri soggetti, come avviene quando una società utilizza un servizio per somministrare questionari a propri clienti o dipendenti. In tali ipotesi, l’informativa privacy deve chiarire i confini delle rispettive responsabilità, evitando zone d’ombra che potrebbero incidere negativamente sulla legittimità del trattamento. La precisione nella descrizione delle categorie di dati trattati rappresenta uno strumento di garanzia sostanziale per gli utenti e di correttezza per il titolare.
Informativa privacy e finalità del trattamento
L’informativa privacy deve illustrare con estrema chiarezza le finalità per le quali i dati personali vengono trattati. L’articolo 5, paragrafo 1, lettera b) del GDPR impone infatti il principio di limitazione delle finalità, secondo cui i dati devono essere raccolti per scopi determinati, espliciti e legittimi e non possono essere successivamente trattati in maniera incompatibile con tali scopi.
Ciò significa che l’informativa privacy non può limitarsi a formule generiche, ma deve dettagliare in modo preciso e comprensibile le ragioni del trattamento, distinguendo le finalità strettamente necessarie all’esecuzione del contratto da quelle ulteriori fondate sul consenso o sul legittimo interesse del titolare.
Nei siti web più comuni, finalità tipiche sono la gestione delle richieste di contatto, l’erogazione di servizi informativi o promozionali tramite newsletter, l’esecuzione di transazioni commerciali e la gestione della fatturazione. In ambito di piattaforme digitali, soprattutto quando queste operano in modalità SaaS, le finalità possono riguardare la creazione e l’amministrazione di account, la registrazione dei log di accesso per motivi di sicurezza, la gestione dei ruoli e delle autorizzazioni degli utenti, nonché l’elaborazione dei dati per generare report o statistiche.
Particolare attenzione deve essere riservata ai trattamenti finalizzati ad attività di profilazione o di marketing, che richiedono una base giuridica distinta rispetto alle finalità contrattuali e che, nella maggior parte dei casi, presuppongono il consenso espresso e libero dell’interessato. Un esempio significativo è rappresentato dalle piattaforme che, oltre a consentire l’accesso a un servizio, raccolgono e analizzano le preferenze di navigazione degli utenti per proporre contenuti personalizzati o per finalità pubblicitarie.
In tali circostanze, l’informativa privacy deve illustrare in modo trasparente la natura di tali trattamenti, consentendo all’utente di comprendere appieno le conseguenze delle proprie scelte e di esercitare in maniera consapevole i propri diritti.
Informativa privacy e modalità del trattamento
Dall’informativa privacy dovrebbero altresì emergere le modalità attraverso le quali i dati personali vengono trattati. L’articolo 5, paragrafo 1, lettera a) e lettera f) del GDPR sancisce i principi di correttezza e integrità, richiedendo che i dati siano trattati in maniera lecita e sicura, mediante procedure che ne garantiscano la riservatezza e ne prevengano l’accesso non autorizzato.
Nell’informativa privacy è dunque necessario specificare che il trattamento avviene con strumenti elettronici, telematici e, ove occorra, manuali, adottando misure tecniche e organizzative adeguate al rischio.
Per i siti web di uso comune, ciò si traduce nell’impiego di sistemi di cifratura delle comunicazioni, nell’adozione di protocolli sicuri per la trasmissione dei dati (si pensi al diffuso protocollo HTTPS) e nella predisposizione di procedure di backup e conservazione. Per le piattaforme digitali, soprattutto in ambito SaaS, le modalità di trattamento comprendono anche la gestione dei log tecnici, il monitoraggio degli accessi e l’implementazione di sistemi di autenticazione a più fattori, a garanzia della sicurezza degli account e delle informazioni in essi contenute.
È altresì fondamentale che l’informativa privacy chiarisca i tempi di conservazione dei dati, indicando non solo la durata del rapporto contrattuale, ma anche i termini ulteriori derivanti da obblighi di legge o da esigenze di tutela in sede giudiziaria (ad esempio, i dati di fatturazione possono essere conservati per dieci anni in forza della normativa fiscale).
Ad ogni modo, l’informativa privacy deve fornire indicazioni puntuali, calibrate sulla tipologia di trattamento effettivamente svolto, affinché l’interessato sia pienamente consapevole delle modalità concrete con cui i propri dati vengono gestiti.
Informativa privacy e ruolo dei soggetti terzi
Un’informativa privacy completa non può omettere l’indicazione dei soggetti terzi ai quali i dati personali possono essere comunicati o trasferiti. Il GDPR, agli articoli 13 e 14, impone al titolare del trattamento l’obbligo di specificare chiaramente se i dati siano destinati a terzi, distinguendo tra responsabili esterni designati ai sensi dell’articolo 28 e titolari autonomi che operano in piena indipendenza. Tale distinzione incide profondamente sulle garanzie riconosciute all’interessato e sulla ripartizione delle responsabilità giuridiche.
Nei siti web tradizionali, i dati possono essere comunicati a fornitori di servizi tecnologici, quali società che curano l’hosting o la manutenzione delle infrastrutture informatiche. Nelle piattaforme digitali, invece, la complessità delle interazioni comporta frequentemente il coinvolgimento di ulteriori soggetti, quali panel provider per il reclutamento di utenti o marketplace esterni che integrano il servizio. In tali ipotesi, l’informativa privacy deve chiarire che il titolare resta responsabile solo dei trattamenti da lui determinati, mentre gli altri operatori assumono la qualifica di titolari autonomi.
Particolare rilievo assume il tema dei trasferimenti di dati verso Paesi terzi, disciplinato dal Capo V del GDPR. L’informativa privacy deve precisare se i dati vengano trattati all’interno dello Spazio Economico Europeo o se siano oggetto di trasferimenti internazionali, indicando le garanzie adottate, come le decisioni di adeguatezza della Commissione europea o l’impiego di clausole contrattuali standard. Un esempio concreto è quello di una piattaforma SaaS che si avvalga di servizi cloud localizzati in Paesi extra-UE: in tal caso, l’informativa privacy deve rendere esplicito tale aspetto, poiché esso incide in maniera significativa sul livello di protezione dei dati personali degli utenti.
Informativa privacy, diritti degli interessati e trasparenza
Un’informativa privacy redatta in conformità al GDPR dovrebbe illustrare in maniera esaustiva i diritti riconosciuti agli interessati, i quali costituiscono l’asse portante della tutela sostanziale dei dati personali. Il Regolamento, agli articoli 15 e seguenti, sancisce diritti quali l’accesso ai dati, la rettifica delle informazioni inesatte, la cancellazione (c.d. diritto all’oblio), la limitazione del trattamento, la portabilità dei dati e l’opposizione a determinati trattamenti, compresi quelli basati sul legittimo interesse del titolare. Inoltre, l’articolo 7 riconosce la facoltà di revocare in ogni momento il consenso prestato, senza pregiudicare la liceità del trattamento fondato sul consenso anteriormente manifestato.
Nell’ambito dei siti web e delle piattaforme digitali, tali diritti assumono un rilievo particolare. Si pensi, ad esempio, all’utente che desideri cancellare il proprio account da un social network, esercitando il diritto di cancellazione, oppure al consumatore che chieda di trasferire i propri dati di acquisto da una piattaforma di e-commerce a un altro fornitore, avvalendosi del diritto alla portabilità.
L’informativa privacy deve rendere queste possibilità chiaramente comprensibili, evitando tecnicismi che ne compromettano la fruibilità e indicando le modalità concrete attraverso le quali gli interessati possono esercitare i propri diritti, quali recapiti e indirizzi e-mail dedicati.
Collocazione dell’informativa nel sito web
Last, but not least, l’informativa privacy dovrebbe essere agevolmente accessibile all’utente nel momento in cui vengono raccolti i dati personali. L’articolo 12 del GDPR impone infatti che le informazioni siano fornite in forma concisa, trasparente, intelligibile e facilmente reperibile, con particolare riguardo ai servizi erogati tramite siti web e piattaforme digitali. Ne deriva che un’informativa privacy, pur redatta con rigore giuridico, risulterebbe inefficace se collocata in aree marginali o difficilmente individuabili da parte degli interessati.
Per i siti web, prassi consolidata è quella di inserire un link diretto all’informativa privacy nel footer di ciascuna pagina, in modo che l’utente possa consultarne il contenuto in ogni momento. È altresì necessario che l’informativa sia resa disponibile in corrispondenza dei moduli di registrazione, delle pagine di acquisto o di contatto, affinché l’utente sia consapevole del trattamento dei propri dati già al momento della raccolta.
Nelle piattaforme digitali, soprattutto quelle che richiedono la creazione di un account, è indispensabile che l’informativa privacy sia consultabile prima della conclusione del processo di iscrizione, e che eventuali trattamenti ulteriori (come attività di marketing o profilazione) siano corredati da meccanismi di consenso specifico e separato (c.d. granularità del consenso, leggi qui il nostro approfondimento).
Supporto legale di un avvocato nella redazione dell’informativa privacy
In definitiva, l’informativa privacy non è un documento standardizzabile: essa deve riflettere fedelmente le specifiche modalità operative adottate da ciascun sito web o piattaforma digitale. L’utilizzo di modelli generici o di servizi automatizzati di compilazione rischia, infatti, di non cogliere le peculiarità dei singoli trattamenti, con conseguente esposizione a profili di responsabilità.
Ogni informativa privacy è il frutto di una valutazione giuridica attenta e personalizzata, in grado di assicurare il rispetto delle prescrizioni del GDPR e, al contempo, la massima trasparenza nei confronti degli utenti.
Contatta il nostro Studio per richiedere un’assistenza legale dedicata e altamente qualificata in ambito privacy&data protection.
ABSTRACT
L’informativa privacy è lo strumento cardine della trasparenza per siti web e piattaforme digitali. La sua redazione deve rispettare le prescrizioni del GDPR e del Codice Privacy, chiarendo l’identità del titolare, le categorie di dati trattati, le finalità, le modalità di gestione, i tempi di conservazione e i diritti degli interessati. Ogni informativa privacy deve essere personalizzata e conforme alla realtà operativa del servizio, evitando modelli standardizzati che rischiano di compromettere la conformità normativa e la tutela degli utenti.
GDPR e consenso per finalità di marketing. Leggi il nostro articolo sulla granularità del consenso nella recente prassi del Garante.
da Redazione | Set 16, 2025 | Diritto d'Impresa
Le condizioni generali di contratto, anche noti come “termini e condizioni“, rappresentano uno strumento di grande importanza nella regolamentazione dei rapporti commerciali, in quanto consentono all’impresa (specie se in fase di start-up) di predisporre in via preventiva l’insieme delle clausole destinate a disciplinare una pluralità di rapporti negoziali.
La loro funzione principale è quella di fornire una cornice negoziale uniforme, applicabile a contratti che, pur stipulati con controparti diverse, presentano caratteristiche tipiche e ricorrenti. La dottrina e la giurisprudenza riconoscono in tali condizioni uno strumento di razionalizzazione dei traffici economici, idoneo a garantire efficienza, celerità e certezza giuridica.
Le condizioni generali di contratto non sostituiscono il singolo accordo, ma si pongono come disciplina integrativa o regolativa rispetto al contenuto specifico del negozio giuridico stipulato tra le parti. Esse rappresentano, pertanto, un elemento essenziale nei contesti in cui si renda necessaria la standardizzazione delle clausole contrattuali, come avviene nelle imprese che intrattengono rapporti continuativi con un elevato numero di clienti o fornitori.
L’adozione delle condizioni generali di contratto consente di ridurre al minimo le incertezze interpretative e di prevenire possibili controversie, offrendo un quadro coerente e predeterminato dei diritti e degli obblighi delle parti.
Condizioni generali di contratto e disciplina codicistica
La disciplina delle condizioni generali di contratto trova fondamento negli articoli 1341 e 1342 del codice civile, i quali delineano i profili essenziali della loro validità ed efficacia. L’articolo 1341 c.c. stabilisce che le condizioni generali predisposte da uno dei contraenti vincolano l’altro solo se quest’ultimo le ha conosciute o avrebbe potuto conoscerle usando l’ordinaria diligenza. Ciò significa che la parte che redige le condizioni generali di contratto deve garantire un adeguato livello di trasparenza e comprensibilità, al fine di consentire alla controparte di formare liberamente e consapevolmente il proprio consenso.
Particolare attenzione è dedicata dal legislatore alle clausole cosiddette “onerose”, vale a dire quelle che determinano a carico dell’aderente limitazioni di responsabilità, decadenze, restrizioni alla facoltà di opporre eccezioni, nonché limitazioni alla libertà contrattuale in senso ampio. Tali clausole, ai sensi del secondo comma dell’art. 1341 c.c., richiedono una specifica approvazione scritta per acquistare efficacia vincolante. In assenza di tale sottoscrizione, esse restano inefficaci, pur mantenendo validità il resto delle condizioni generali di contratto.
L’articolo 1342 c.c., inoltre, disciplina l’ipotesi dei contratti conclusi mediante moduli o formulari, stabilendo che, in caso di incompatibilità tra le condizioni generali predisposte e le clausole aggiunte o specificamente concordate, prevalgono queste ultime. Tale regola ribadisce l’importanza del consenso individuale e bilancia la predisposizione unilaterale delle condizioni generali di contratto con la tutela della parte contraente.
Condizioni generali di contratto e codice del consumo
Le condizioni generali di contratto assumono un rilievo particolarmente significativo nei rapporti tra professionista e consumatore, disciplinati dal Codice del Consumo (D.Lgs. n. 206/2005). La ratio della normativa è quella di rafforzare la tutela del contraente debole, riequilibrando la posizione di svantaggio in cui egli si trova rispetto al professionista che, in via unilaterale, predispone il contenuto contrattuale.
In tale prospettiva, il legislatore ha introdotto una disciplina specifica delle clausole vessatorie, che integra e al tempo stesso si pone in continuità con la disciplina codicistica degli artt. 1341 e 1342 c.c.
L’art. 33 Cod. Cons. definisce come vessatorie tutte quelle clausole che, malgrado la buona fede, determinano un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto a carico del consumatore. La norma individua, al secondo comma, una serie di clausole che si presumono vessatorie fino a prova contraria: si tratta, ad esempio, di quelle che escludono o limitano la responsabilità del professionista per danni alla persona del consumatore, di quelle che attribuiscono al solo predisponente la facoltà di recedere senza giusta causa, o ancora di quelle che prevedono penali manifestamente eccessive in caso di inadempimento.
Tali clausole incidono in modo sproporzionato sulla posizione giuridica del consumatore, alterando l’equilibrio contrattuale e compromettendo la parità delle prestazioni. È significativo che il legislatore non si limiti a un elenco chiuso, ma consenta al giudice di accertare, caso per caso, la presenza di squilibri sostanziali tali da qualificare una clausola come vessatoria.
L’art. 34 Cod. Cons. stabilisce i criteri per l’accertamento della vessatorietà, richiedendo di valutare la natura del bene o del servizio oggetto del contratto, le circostanze esistenti al momento della conclusione e l’insieme delle clausole, comprese quelle di contratti collegati. È esclusa, invece, la possibilità di sindacare l’adeguatezza del corrispettivo pattuito, purché questo sia determinato in maniera chiara e comprensibile.
La norma chiarisce, inoltre, che non sono vessatorie le clausole che riproducono disposizioni di legge o quelle che siano state oggetto di trattativa individuale: in quest’ultimo caso, tuttavia, grava sul professionista l’onere di provare l’effettivo svolgimento della trattativa, specialmente nei contratti stipulati attraverso moduli o formulari standardizzati.
L’effetto della qualificazione di una clausola come vessatoria è la sua nullità, che opera a vantaggio esclusivo del consumatore e che non travolge l’intero contratto, ma soltanto la singola clausola ritenuta invalida. Ne consegue che le condizioni generali di contratto utilizzate nei rapporti con i consumatori devono essere redatte con particolare attenzione, evitando formulazioni ambigue o eccessivamente sbilanciate a favore del professionista. La trasparenza e la chiarezza redazionale diventano elementi imprescindibili non soltanto per garantire la validità giuridica delle condizioni, ma anche per assicurare un rapporto fiduciario con il cliente finale, che costituisce un valore strategico per l’impresa.
La disciplina consumeristica, dunque, impone alle imprese di coniugare le esigenze di standardizzazione tipiche delle condizioni generali di contratto con i principi di buona fede, equità e proporzionalità. Solo in tal modo esse possono svolgere efficacemente la loro funzione di semplificazione e uniformità dei rapporti giuridici senza incorrere nel rischio di inefficacia parziale o di contenziosi giudiziari che potrebbero compromettere l’attività economica.
Vantaggi delle condizioni generali di contratto per le imprese
Il principale vantaggio delle condizioni generali di contratto consiste nella possibilità di definire in modo uniforme le regole contrattuali applicabili a una pluralità di rapporti, evitando di dover negoziare ex novo ogni singolo accordo. Ciò comporta una significativa semplificazione operativa, che riduce i tempi e i costi di gestione e favorisce la rapidità delle transazioni.
La standardizzazione delle condizioni generali di contratto consente inoltre di garantire coerenza e uniformità nei rapporti con i clienti, siano essi privati o corporate. Ogni cliente o controparte si trova a operare all’interno di un quadro negoziale già definito, riducendo il rischio di interpretazioni divergenti o di conflitti dovuti a clausole formulate in modo disomogeneo.
Un ulteriore beneficio deriva dalla funzione preventiva che le condizioni generali di contratto svolgono rispetto al contenzioso. Laddove esse siano redatte con chiarezza, completezza e coerenza con la disciplina legale applicabile, si riducono sensibilmente le possibilità di controversie interpretative, poiché i diritti e gli obblighi delle parti risultano stabiliti in modo predeterminato e conoscibile sin dal momento della stipulazione.
Non va trascurato, infine, l’impatto positivo in termini di programmazione strategica. Attraverso le condizioni generali di contratto, l’impresa può predisporre clausole idonee a tutelare i propri interessi economici, disciplinando in anticipo aspetti quali la responsabilità per inadempimento, i termini di pagamento, le modalità di consegna o le ipotesi di risoluzione.
Condizioni generali di contratto e uniformità dei rapporti negoziali
Uno degli aspetti più rilevanti connessi all’utilizzo delle condizioni generali di contratto riguarda la possibilità di garantire uniformità e coerenza nei rapporti negoziali con la clientela. In assenza di un impianto contrattuale uniforme, infatti, le imprese si troverebbero costrette a negoziare singolarmente ogni rapporto, con l’inevitabile conseguenza di dover affrontare testi contrattuali difformi, clausole non coordinate e, talvolta, incompatibili con la strategia complessiva dell’impresa.
Le condizioni generali di contratto, abbinate a un Modulo d’Ordine predisposto ad hoc, consentono di uniformare la disciplina dei rapporti pur lasciando spazio, nella parte variabile del contratto, agli elementi essenziali quali il prezzo, la durata, le quantità o le caratteristiche specifiche della prestazione. In questo modo, si realizza un equilibrio tra standardizzazione e flessibilità: da un lato, l’impresa mantiene il controllo sulle clausole fondamentali, dall’altro il cliente percepisce la personalizzazione della propria posizione contrattuale.
È opportuno sottolineare che la predisposizione delle condizioni generali di contratto deve essere calibrata in funzione della tipologia di rapporto che si intende disciplinare. Un contratto di vendita, ad esempio, richiederà clausole relative alla consegna e al trasferimento del rischio, mentre un contratto di licenza software dovrà prevedere disposizioni sul diritto d’uso, sugli aggiornamenti e sulla proprietà intellettuale. Ancora diverso sarà il caso del contratto di trasporto, che imporrà la definizione di responsabilità specifiche in materia di custodia e risarcimento dei danni.
Condizioni generali di contratto e tutela del contraente
Le condizioni generali di contratto non possono essere considerate soltanto uno strumento di tutela dell’impresa predisponente, ma devono essere concepite in una prospettiva di equilibrio, nella quale siano preservati anche i diritti della controparte. In assenza di tale bilanciamento, infatti, il rischio è quello di vedere compromessa la validità o l’efficacia delle clausole, con conseguenti incertezze applicative e possibili contenziosi.
La predisposizione unilaterale di clausole standardizzate, sebbene funzionale alla semplificazione dei rapporti giuridici, non può tradursi in una compressione irragionevole delle prerogative della parte aderente.
La tutela del contraente trova il suo fondamento nei principi di buona fede e correttezza, i quali permeano l’intero sistema delle obbligazioni e dei contratti. Ne consegue che, anche in assenza di una disciplina specifica come quella del Codice del Consumo, le condizioni generali di contratto devono rispettare tali principi, evitando di introdurre previsioni che possano essere considerate abusive o squilibrate.
In tal senso, la giurisprudenza ha più volte ribadito che la validità delle clausole standardizzate è subordinata alla loro chiarezza e intelligibilità, elementi che consentono al contraente di comprendere effettivamente l’estensione dei propri diritti e obblighi.
Un ulteriore profilo di tutela deriva dall’interpretazione delle clausole dubbie o ambigue, che, secondo il criterio stabilito dall’art. 1370 c.c., devono essere interpretate a favore della parte che non le ha predisposte. Tale regola, pensata come contrappeso al potere negoziale dell’impresa, impone al professionista la massima attenzione nella redazione delle condizioni generali di contratto, le quali devono risultare precise, univoche e prive di margini interpretativi eccessivi.
Condizioni generali di contratto nella prassi internazionale
Nel contesto del commercio internazionale e delle operazioni transnazionali, le condizioni generali di contratto assumono un ruolo di primaria importanza, in quanto consentono di uniformare la disciplina dei rapporti anche in presenza di differenze normative tra ordinamenti giuridici.
Le imprese che operano su mercati esteri si trovano infatti ad affrontare la complessità derivante dalla pluralità di leggi applicabili, dalle diverse giurisdizioni competenti e dalle regole di diritto internazionale privato. In tale scenario, le condizioni generali di contratto fungono da strumento di armonizzazione, capace di garantire certezza e prevedibilità nei rapporti con controparti straniere.
Un esempio significativo è rappresentato dalle clausole che disciplinano la legge applicabile e il foro competente. Nelle transazioni internazionali, la scelta di sottoporre il contratto a un determinato ordinamento o di deferire eventuali controversie a un arbitrato internazionale costituisce un elemento essenziale per ridurre i rischi legati all’incertezza normativa.
Analogamente, le condizioni generali di contratto possono prevedere l’adozione di standard internazionali, come gli Incoterms nel commercio di beni, i quali definiscono in maniera uniforme le modalità di consegna, il trasferimento dei rischi e la ripartizione dei costi tra le parti.
La prassi internazionale evidenzia dunque come le condizioni generali di contratto non possano essere redatte con un orizzonte esclusivamente nazionale, ma debbano essere calibrate in funzione della platea di destinatari, della natura dei rapporti e delle normative sovranazionali applicabili. Per le imprese digitali e per le start-up con vocazione globale, ciò significa predisporre clausole capaci di coniugare uniformità e adattabilità, così da garantire validità ed efficacia dei rapporti contrattuali anche in un contesto giuridico frammentato e in continua evoluzione.
Assistenza legale esperta per start up e imprese digitali
Il nostro Studio è a disposizione per assistere imprese e start-up nella predisposizione e nella revisione delle condizioni generali di contratto, offrendo un supporto tecnico-giuridico che consente di valorizzare l’efficienza e la competitività del modello di business. Ci occupiamo sia della creazione ex novo di condizioni generali di contratto specifiche per i diversi ambiti (vendita, licenza software, trasporto, mandato commerciale, servizi digitali), sia della valutazione dell’efficacia e della validità delle clausole già in uso, al fine di verificarne l’adeguatezza e ridurre i rischi operativi.
Contattaci per un primo confronto!
da Redazione | Set 11, 2025 | Diritto d'Impresa
La società benefit rappresenta una delle più rilevanti innovazioni giuridiche introdotte nel diritto societario italiano negli ultimi anni. Con la Legge di Stabilità del 2016 (L. n. 208/2015, commi 376-384), il legislatore ha recepito e adattato al nostro ordinamento l’esperienza maturata negli Stati Uniti con le benefit corporations, riconoscendo alle imprese la possibilità di affiancare allo scopo lucrativo finalità di beneficio comune, da perseguire in modo responsabile, sostenibile e trasparente.
Tale modello si inserisce in un più ampio processo di evoluzione della funzione dell’impresa, che non è più chiamata soltanto a generare profitti, ma anche a produrre valore condiviso per la collettività, i lavoratori, i territori e l’ambiente. L’introduzione della società benefit ha così segnato il passaggio da una concezione tradizionale, centrata esclusivamente sugli interessi degli azionisti, a un paradigma più avanzato, attento agli interessi degli stakeholder e all’impatto sociale e ambientale delle scelte aziendali.
L’obiettivo del presente articolo è quello di fornire un quadro chiaro e sistematico sulla società benefit, analizzandone i requisiti giuridici, le peculiarità statutarie, gli obblighi di rendicontazione e i controlli previsti dalla legge, nonché i vantaggi e le criticità connesse a questa forma societaria, al fine di offrire al lettore una panoramica completa a quasi dieci anni dalla sua introduzione.
Società benefit: la definizione giuridica e il concetto di beneficio comune
La società benefit trova una precisa definizione normativa all’art. 1, comma 376, della Legge n. 208/2015, secondo cui si tratta di una società che, nell’esercizio di un’attività economica, oltre allo scopo di dividerne gli utili, persegue una o più finalità di beneficio comune, operando in modo responsabile, sostenibile e trasparente nei confronti delle persone, delle comunità, dei territori e dell’ambiente, dei beni e delle attività culturali e sociali, nonché degli enti e delle associazioni e di altri portatori di interesse.
La disposizione chiarisce come il modello non sostituisca lo scopo di lucro, ma lo affianchi a una finalità ulteriore, destinata ad assumere rilevanza giuridica autonoma. La società benefit si distingue, pertanto, da un’impresa tradizionale che occasionalmente ponga in essere iniziative di carattere sociale, poiché in essa il perseguimento del beneficio comune rappresenta parte integrante e strutturale dell’oggetto sociale.
Il concetto di beneficio comune, definito dal comma 378 della stessa legge, si sostanzia nel perseguimento di uno o più effetti positivi, o nella riduzione degli effetti negativi, rispetto a determinati ambiti di interesse collettivo. Esso ha dunque la funzione di vincolare la società benefit a una responsabilità sociale misurabile e permanente, che si riflette sull’attività economica quotidiana e sulla governance societaria.
Tale bilanciamento tra finalità lucrative e finalità collettive costituisce il tratto caratteristico del modello e la ragione per cui esso ha trovato crescente diffusione nel panorama imprenditoriale italiano ed europeo.
Società benefit: i requisiti soggettivi e le forme societarie ammesse
La società benefit non costituisce un nuovo tipo societario, ma rappresenta un modello organizzativo che può essere assunto dalle forme societarie già disciplinate dal Codice civile. In particolare, la legge del 2015 ha previsto che la qualifica di società benefit possa essere attribuita a tutte le società appartenenti ai titoli V e VI del libro V, e dunque tanto alle società di persone quanto alle società di capitali, incluse le cooperative e le mutue assicuratrici.
La scelta del legislatore è stata quella di non creare una figura distinta, ma di consentire a soggetti già esistenti di integrare nella propria struttura finalità di beneficio comune, con la conseguenza che l’assunzione della qualifica non modifica la disciplina generale applicabile al tipo societario prescelto, ma ne arricchisce l’oggetto sociale e la governance.
La possibilità di adottare il modello è, quindi, estremamente ampia: possono diventare società benefit le società in nome collettivo e in accomandita semplice, le società per azioni, le società a responsabilità limitata, le società in accomandita per azioni, nonché le società cooperative. L’accesso è consentito tanto alle piccole realtà imprenditoriali quanto alle grandi società quotate, il che conferisce al modello una trasversalità che ne ha favorito la diffusione in diversi settori del tessuto economico nazionale.
Ne deriva che la società benefit non è confinata ad ambiti di nicchia, ma può essere adottata da operatori molto differenti, purché accomunati dall’intenzione di coniugare il perseguimento del profitto con la responsabilità sociale e ambientale.
Esistono, tuttavia, importanti esclusioni. Non possono acquisire la qualifica di società benefit le imprese sociali e le società cooperative sociali, poiché tali soggetti non perseguono uno scopo di lucro, requisito che resta invece imprescindibile per la disciplina delle società benefit. Esse, infatti, si fondano proprio sulla compresenza di una finalità lucrativa, tipica delle società for profit, e di un obiettivo di beneficio comune, che deve essere perseguito parallelamente e in modo strutturale.
Parimenti, non possono assumere la qualifica le società a responsabilità limitata semplificate, vincolate a un modello di atto costitutivo standardizzato che non consente l’inserimento delle previsioni richieste dalla legge del 2015.
La ratio di queste esclusioni è evidente: l’ordinamento ha inteso riservare il modello benefit alle società che operano sul mercato con finalità economiche, ma che desiderano orientare in maniera trasparente e giuridicamente vincolante le proprie attività verso la produzione di un impatto positivo per la collettività.
La società benefit si caratterizza dunque per un equilibrio peculiare, che non annulla il profitto ma lo pone in relazione a una missione più ampia. È proprio questa caratteristica che ne ha determinato il successo, rendendola un’opzione credibile sia per gli imprenditori che intendono rafforzare la reputazione della propria impresa, sia per gli investitori attenti alla sostenibilità e agli standard ESG, alla ricerca di veicoli societari capaci di garantire stabilità economica e valore condiviso.
Società benefit: l’oggetto sociale e le clausole statutarie
Uno degli aspetti più caratterizzanti della società benefit riguarda la disciplina dell’oggetto sociale e le conseguenti modifiche statutarie necessarie per l’assunzione della qualifica. La normativa del 2015 ha infatti stabilito che l’atto costitutivo o lo statuto debbano espressamente prevedere, accanto allo scopo di lucro, una o più finalità di beneficio comune, le quali diventano parte integrante e vincolante della missione societaria.
L’inserimento di tali clausole configura un vero e proprio obbligo giuridico, che impegna la società a bilanciare l’interesse dei soci con quello dei portatori di interesse esterni e a rendere conto delle azioni poste in essere per realizzare tali obiettivi.
L’oggetto sociale della società benefit deve quindi contenere una descrizione chiara e puntuale delle finalità collettive che si intendono perseguire. Tali finalità possono essere strettamente connesse all’attività principale dell’impresa – ad esempio ridurre l’impatto ambientale di un processo produttivo o favorire il benessere dei lavoratori – ma possono anche riguardare ambiti più ampi, come la tutela del patrimonio culturale, la rigenerazione urbana o il sostegno a iniziative sociali sul territorio.
In ogni caso, è essenziale che esse siano formulate in modo da risultare verificabili e da consentire, in sede di rendicontazione, una valutazione concreta degli impatti generati.
Accanto alla definizione dell’oggetto sociale, lo statuto di una società benefit può contenere ulteriori clausole specifiche, volte a garantire l’effettività del modello. Tra queste, assume particolare rilievo la previsione relativa alla nomina di uno o più responsabili d’impatto, figura deputata a monitorare il perseguimento degli obiettivi di beneficio comune.
Altre disposizioni riguardano l’impegno degli amministratori alla redazione della relazione annuale di impatto, da allegare al bilancio e da rendere pubblica, nonché eventuali regole sulla circolazione delle partecipazioni, volte ad assicurare che il subentro di nuovi soci non comprometta la continuità della missione benefit. In tal senso, l’oggetto sociale e le clausole statutarie rappresentano l’ossatura giuridica che distingue la società benefit dalle società tradizionali, conferendo certezza normativa e tutela agli stakeholders coinvolti.
Società benefit: l’amministrazione e il ruolo del responsabile d’impatto
La gestione della società benefit si caratterizza per la necessità di coniugare lo scopo lucrativo con il perseguimento del beneficio comune, secondo un criterio di bilanciamento che la legge affida in primo luogo all’organo amministrativo.
Gli amministratori non sono più valutati soltanto in relazione alla redditività dell’impresa, ma anche con riguardo alla capacità di assicurare effetti positivi nei confronti degli stakeholder e di ridurre gli impatti negativi sull’ambiente, sulla società e sulle comunità coinvolte. Ne discende un ampliamento dei doveri gestori: la diligenza richiesta agli amministratori si estende alla considerazione delle finalità collettive indicate nello statuto, la cui inosservanza può tradursi in responsabilità civile nei confronti della società e dei soci, secondo le regole codicistiche in materia di responsabilità degli organi sociali.
Accanto all’organo amministrativo, la disciplina prevede l’obbligo di individuare uno o più responsabili d’impatto, figura che svolge una funzione di raccordo e di monitoraggio circa l’effettivo perseguimento degli obiettivi di beneficio comune.
Il responsabile d’impatto è incaricato di raccogliere e analizzare i dati relativi agli impatti generati, di predisporre le informazioni necessarie per la relazione annuale e di promuovere all’interno della società pratiche coerenti con la missione benefit. La sua nomina, pur lasciata alla discrezionalità dell’organo amministrativo quanto a criteri e modalità, costituisce un adempimento necessario, la cui omissione può integrare una violazione dei doveri statutari e comportare conseguenze in termini di responsabilità per gli amministratori stessi.
Il ruolo del responsabile d’impatto appare pertanto essenziale per garantire che la qualifica di società benefit non resti una mera etichetta formale, ma si traduca in un impegno sostanziale e verificabile. Tale figura, che richiede competenze interdisciplinari in materia di sostenibilità, gestione aziendale e rendicontazione, contribuisce a rendere credibile il modello benefit, rafforzandone la legittimazione giuridica e la reputazione sul mercato.
Società benefit: la rendicontazione e la relazione annuale di impatto
Uno degli obblighi più qualificanti della società benefit è rappresentato dalla redazione della relazione annuale di impatto, documento che deve essere allegato al bilancio e pubblicato sul sito internet della società, qualora esistente.
Si tratta di un adempimento che costituisce il principale strumento attraverso il quale la società dà prova della serietà del proprio impegno e rende trasparente il perseguimento delle finalità di beneficio comune. La legge stabilisce che la relazione debba contenere la descrizione degli obiettivi specifici individuati dallo statuto, le azioni intraprese per realizzarli, gli ostacoli eventualmente incontrati e le motivazioni delle eventuali mancate realizzazioni.
Deve inoltre includere una valutazione dell’impatto generato, effettuata attraverso uno standard esterno, indipendente e conforme ai requisiti indicati dalla normativa, così da evitare ogni rischio di autoreferenzialità.
Gli standard di misurazione, pur non essendo predeterminati in via esclusiva dal legislatore, devono possedere caratteristiche di completezza, credibilità e trasparenza, tali da garantire un’analisi oggettiva e comparabile. Tra i più diffusi si annoverano il Global Reporting Initiative (GRI) e il Benefit Impact Assessment (BIA), ma l’evoluzione della disciplina europea in materia di rendicontazione di sostenibilità, in particolare con la Corporate Sustainability Reporting Directive (CSRD), lascia intravedere la possibilità di un progressivo allineamento verso criteri comuni a livello europeo.
L’obbligo di redazione e pubblicazione della relazione di impatto si inserisce in una più ampia prospettiva di accountability, rafforzando il rapporto di fiducia con gli stakeholder e prevenendo fenomeni di greenwashing, che potrebbero compromettere la credibilità dell’intero modello.
Società benefit: i controlli e le responsabilità
Il legislatore ha previsto specifici meccanismi di vigilanza volti ad assicurare che la società benefit non si limiti a un impegno di facciata, ma persegua effettivamente le finalità di beneficio comune dichiarate nello statuto.
In tal senso, un ruolo centrale è attribuito all’Autorità Garante della Concorrenza e del Mercato, la quale può sanzionare la società che utilizzi la qualifica di benefit senza darne concreta attuazione, applicando le disposizioni del decreto legislativo n. 145 del 2007 in materia di pubblicità ingannevole e quelle del Codice del consumo in tema di pratiche commerciali scorrette.
L’uso strumentale della qualifica, privo di effettive ricadute sociali o ambientali, può dunque tradursi in una violazione suscettibile di comportare non soltanto ammende pecuniarie, ma anche rilevanti conseguenze reputazionali e, nei casi più gravi, atti di concorrenza sleale ai sensi dell’art. 2598 c.c.
Accanto all’intervento dell’autorità amministrativa, la responsabilità si estende agli organi sociali. Gli amministratori di una società benefit, infatti, sono gravati da doveri ulteriori rispetto a quelli delle società tradizionali, poiché la legge impone loro di bilanciare l’interesse dei soci con quello degli stakeholder e di adottare assetti organizzativi idonei a garantire la realizzazione del beneficio comune.
L’inosservanza di tali obblighi può integrare una violazione dei doveri gestori, con conseguente responsabilità civile verso la società e, indirettamente, verso i soci. Il collegio sindacale, ove previsto, è a sua volta tenuto a vigilare sull’effettiva attuazione delle finalità statutarie, estendendo il proprio controllo non solo alla regolarità contabile e gestionale, ma anche alla coerenza tra attività d’impresa e missione benefit. In tal modo, il sistema dei controlli mira a garantire che la società benefit si configuri come un modello autentico e credibile, in grado di coniugare il profitto con un impatto positivo e tangibile sulla collettività.
Società benefit: vantaggi e criticità del modello
A quasi un decennio dalla sua introduzione, la società benefit si è affermata come una delle forme giuridiche più interessanti per le imprese che intendono conciliare l’attività economica con la responsabilità sociale e ambientale. Il principale vantaggio è di natura reputazionale: l’assunzione della qualifica permette all’impresa di distinguersi sul mercato, trasmettendo ai consumatori, agli investitori e ai partner commerciali un impegno formalizzato e vincolante verso la sostenibilità e la creazione di valore condiviso.
In un contesto in cui la sensibilità pubblica nei confronti delle questioni ambientali e sociali è in costante crescita, la società benefit offre una credibilità che va oltre il semplice marketing etico, poiché la finalità di beneficio comune è incorporata nello statuto e sottoposta a obblighi di rendicontazione e controllo.
Un ulteriore profilo di vantaggio riguarda la capacità di attrarre capitali da parte degli investitori ad impatto (impact investors), interessati a sostenere progetti che uniscano la redditività economica a obiettivi misurabili di natura ambientale e sociale. La società benefit rappresenta per tali investitori una garanzia, in quanto l’ordinamento vincola la società a mantenere nel tempo la propria missione di sostenibilità, assicurando la continuità degli impegni anche in caso di variazioni nella compagine sociale o nei vertici gestionali.
Allo stesso modo, il modello si rivela particolarmente efficace nell’attrarre giovani talenti, sensibili ai valori della responsabilità sociale e motivati a lavorare in imprese che riflettano le loro convinzioni etiche. Ciò si traduce in una maggiore capacità di retention del personale qualificato e in una più forte identificazione dei lavoratori con la missione aziendale.
La società benefit si configura inoltre come uno strumento idoneo a fidelizzare la clientela più attenta alle tematiche ESG, la quale tende a premiare i soggetti che operano in modo trasparente e responsabile, anche accettando prezzi più elevati per beni e servizi che incorporino un valore etico e ambientale. L’adozione di questo modello diventa così un fattore competitivo, che consente all’impresa di differenziarsi e di consolidare rapporti duraturi con consumatori e stakeholder.
Dal punto di vista della governance, il riconoscimento legislativo di finalità diverse dal mero profitto attribuisce agli amministratori una protezione giuridica ulteriore, consentendo loro di bilanciare gli interessi finanziari con quelli non finanziari senza il rischio di azioni di responsabilità fondate esclusivamente sulla massimizzazione dei dividendi.
Accanto a questi benefici, il modello presenta tuttavia anche alcune criticità. L’adozione della qualifica di società benefit comporta costi organizzativi e gestionali aggiuntivi, in quanto è necessario individuare un responsabile d’impatto, adottare procedure interne di monitoraggio, redigere e pubblicare la relazione annuale e garantire la conformità a standard esterni di valutazione.
Tali adempimenti richiedono competenze specialistiche e, in molti casi, il ricorso a consulenti esterni, con conseguenti oneri economici. Un ulteriore elemento critico è rappresentato dall’assenza di benefici fiscali stabili e strutturali: ad eccezione di misure temporanee introdotte negli anni immediatamente successivi all’entrata in vigore della legge, il legislatore non ha previsto incentivi economici diretti, lasciando che i vantaggi del modello derivino principalmente da fattori reputazionali, competitivi e relazionali.
Sul piano della responsabilità, la società benefit impone agli amministratori obblighi più gravosi rispetto a quelli delle società tradizionali, poiché la valutazione della loro condotta non si limita alla performance economica, ma si estende alla capacità di garantire un effettivo impatto positivo.
L’inosservanza di tali obblighi può dar luogo a responsabilità civili, mentre la mancata attuazione delle finalità dichiarate può essere perseguita dall’Autorità Garante della Concorrenza e del Mercato come pratica commerciale scorretta o pubblicità ingannevole.
Nonostante tali difficoltà, la società benefit rappresenta un modello maturo e credibile per imprese che intendano affrontare le sfide della sostenibilità integrando gli obiettivi economici con quelli sociali e ambientali. La sua adozione comporta un impegno autentico, che non può essere ridotto a mera etichetta promozionale, ma che, se attuato con coerenza, consente di rafforzare la posizione dell’impresa nel lungo periodo, migliorandone la resilienza, la capacità di innovazione e la legittimazione sul mercato.
Società benefit: il supporto legale nella valutazione della sostenibilità del business
L’adozione della forma di società sottende una valutazione attenta delle implicazioni normative, organizzative e gestionali. Si tratta di una scelta che incide sulla struttura statutaria, sui doveri degli amministratori e sugli obblighi di rendicontazione, e che richiede quindi un approccio consapevole e coerente con le esigenze dell’impresa.
In tale prospettiva, il ruolo della consulenza legale è quello di accompagnare l’azienda nell’analisi della convenienza del modello, nella predisposizione delle clausole statutarie più adeguate e nella definizione di procedure interne idonee a garantire il rispetto degli obblighi normativi e il bilanciamento tra interesse economico e beneficio comune.
Il nostro Studio offre supporto alle imprese che intendano valutare l’opportunità di assumere la qualifica di società benefit, nonché a quelle che desiderino integrare in modo più ampio i principi di sostenibilità nella propria strategia di governance e di crescita. Contattaci per un primo confronto!
