da Redazione | Ott 7, 2024 | Diritto d'Impresa, Diritto Penale
Il decreto legislativo di recepimento della Direttiva NIS 2 ha introdotto una regolamentazione che, in parte, si sovrappone all’ambito disciplinato dal Decreto-Legge 105/2019, istitutivo del Perimetro di Sicurezza Nazionale Cibernetica (PSNC). Tale parziale coincidenza emerge chiaramente dall’analisi degli ambiti soggettivi delle due normative. Da un lato, l’articolo 3 e l’articolo 6 del decreto NIS 2 individuano come destinatari gli operatori essenziali e importanti di settori rilevanti, tra cui molti rientrano nelle infrastrutture strategiche e nei servizi essenziali definiti dal D.L. 105/2019. In particolare, il DPR 30 luglio 2020, n. 131, ha esplicitamente elencato quei settori considerati di interesse nazionale, che coincidono con alcuni dei settori ricompresi anche nell’ambito di applicazione della normativa NIS 2.
L’introduzione di queste due normative mira a garantire una maggiore protezione delle infrastrutture critiche e dei sistemi informativi nazionali, attraverso la gestione del rischio cibernetico e l’adozione di misure di sicurezza proporzionate. Tuttavia, per gli operatori già inseriti nel PSNC, le nuove disposizioni della NIS 2 possono comportare obblighi aggiuntivi o diversamente modulati. L’articolo si propone di fornire un quadro completo e chiaro degli adempimenti che tali operatori devono rispettare per garantire la compliance con entrambe le normative.
A conclusione dell’articolo, forniremo una checklist degli adempimenti fondamentali e un calendario delle principali scadenze, utili per aiutare le imprese e gli enti pubblici a rispettare le disposizioni del D. Lgs. 138/2024 e del D.L. 105/2019. Questo strumento sarà essenziale per gestire in maniera efficiente le fasi di adeguamento richieste dalla normativa NIS di nuovo conio.
Perimetro di Sicurezza Nazionale Cibernetica: quali obblighi?
Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), istituito con il D.L. 105/2019, impone una serie di obblighi a carico dei soggetti che ne fanno parte, con l’obiettivo di garantire la protezione delle infrastrutture e dei sistemi essenziali per la sicurezza nazionale. Di seguito una breve disamina dei principali obblighi.
I soggetti inclusi nel Perimetro, una volta ricevuta la comunicazione ufficiale della loro inclusione, sono tenuti a predisporre e aggiornare periodicamente un elenco dettagliato dei beni ICT impiegati. Questo elenco deve includere i sistemi informativi e i servizi informatici che utilizzano tali beni, con l’indicazione specifica di quelli che, in caso di incidente, potrebbero causare l’interruzione totale o parziale delle funzioni essenziali o dei servizi essenziali. In particolare, devono essere evidenziati quei beni la cui compromissione potrebbe avere effetti irreversibili sulla riservatezza, integrità o disponibilità dei dati gestiti.
Entro sei mesi dalla comunicazione di inclusione nelle liste del PSNC, i soggetti devono trasmettere all’Autorità competente l’elenco completo dei beni ICT, accompagnato dai modelli che descrivono l’architettura di tali beni. Questo trasferimento di informazioni avviene attraverso una piattaforma digitale dedicata, garantendo così la sicurezza delle informazioni inviate.
In aggiunta a questi obblighi, i soggetti inclusi nel Perimetro sono tenuti a rispettare rigorose misure di sicurezza che mirano a prevenire e mitigare gli effetti di eventi dannosi in grado di pregiudicare il normale svolgimento delle loro attività. Tali misure, elaborate ai sensi dell’articolo 1, comma 4, del D.L. 105/2019, sono oggi elencate nel DPCM 81/2021, e impongono standard elevati di protezione.
Un ulteriore obbligo riguarda la notifica tempestiva di ogni incidente informatico al Gruppo di intervento per la sicurezza informatica in caso di incidente italiano (CSIRT Italia). Questa notifica deve essere effettuata senza indugio per consentire una gestione rapida e coordinata degli eventi.
Infine, i soggetti inclusi nel PSNC devono segnalare al Centro di valutazione e certificazione nazionale (CVCN) l’avvio di qualsiasi procedura di affidamento per la fornitura di beni ICT che saranno utilizzati su reti, sistemi informativi e servizi essenziali, al fine di garantire il rispetto delle misure di sicurezza nazionali anche nei processi di approvvigionamento tecnologico.
Il coordinamento tra PSNC e disciplina NIS 2
Il coordinamento tra il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e la disciplina introdotta dalla Direttiva NIS 2, come regolamentato dall’art. 33 del D. Lgs. 138/2024, rappresenta un aspetto cruciale per garantire una gestione integrata e coerente della sicurezza cibernetica a livello nazionale. Il legislatore ha voluto evitare sovrapposizioni e ridondanze normative tra le due discipline, garantendo al contempo che i soggetti già inseriti nel PSNC continuino a rispettare gli obblighi di sicurezza stabiliti dal D.L. 105/2019, senza dover duplicare le misure previste dal nuovo assetto normativo introdotto dalla NIS 2.
In primo luogo, il decreto stabilisce che gli obblighi di gestione del rischio per la sicurezza informatica e di notifica degli incidenti previsti dal D.L. 105/2019 sono considerati almeno equivalenti a quelli imposti dal D. Lgs. 138/2024. Questo significa che i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica non sono tenuti ad adempiere contemporaneamente agli obblighi di entrambe le normative, ma possono continuare a rispettare le disposizioni del PSNC, considerate sufficienti anche ai fini della NIS 2.
Tuttavia, il coordinamento tra le due discipline non implica una completa esenzione dalla normativa NIS 2. Infatti, l’art. 33 chiarisce che le reti, i sistemi informativi e i servizi inseriti nell’elenco del Perimetro di Sicurezza non sono soggetti alle disposizioni del decreto NIS 2, ma soltanto per quanto riguarda i beni strettamente rientranti nell’ambito del PSNC. Per tutti gli altri sistemi o servizi non compresi nel perimetro di sicurezza nazionale, continuano ad applicarsi le disposizioni del D. Lgs. 138/2024. Ciò garantisce che ogni infrastruttura critica e ogni soggetto essenziale o importante sia adeguatamente tutelato, senza lasciare lacune nel sistema di protezione cibernetica nazionale.
Un altro aspetto rilevante riguarda la notifica degli incidenti. I soggetti del Perimetro che notificano un incidente ai sensi del D.L. 105/2019 non devono ripetere la notifica seguendo le disposizioni del D. Lgs. 138/2024 per lo stesso evento. Anche in questo caso, il legislatore ha voluto evitare duplicazioni procedurali, garantendo una gestione più snella e coerente degli incidenti cibernetici.
La scelta del legislatore di coordinare il PSNC con la disciplina della Direttiva NIS 2 risponde all’esigenza di armonizzare le normative nazionali ed europee in materia di sicurezza cibernetica, garantendo che i soggetti coinvolti possano adottare misure di sicurezza efficaci, senza doversi confrontare con obblighi duplicati o conflittuali. Questo approccio garantisce una protezione ottimale delle infrastrutture critiche, pur mantenendo la coerenza tra le diverse normative applicabili.
Soggetti inclusi nel Perimetro, registrazione nella piattaforma, e obblighi NIS.
I soggetti già inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC) devono affrontare un’analisi preliminare per determinare se rientrano anche nell’ambito di applicazione del Decreto NIS 2. Questa valutazione è essenziale per stabilire se operano nei settori considerati critici o altamente critici, elencati negli Allegati I e II del D. Lgs. 138/2024, o se possiedono una delle qualifiche di soggetti pubblici o privati elencati negli Allegati III e IV. Qualora un soggetto operi in uno di questi ambiti, è tenuto a rispettare anche gli obblighi imposti dalla normativa NIS 2, oltre a quelli già previsti dal D.L. 105/2019.
Una volta confermata l’applicabilità del decreto NIS 2, i soggetti dovranno verificare se all’interno della loro organizzazione esistano reti e sistemi informativi che non rientrano nella clausola di esclusione prevista dall’art. 33, comma 1, lettera b), del D. Lgs. 138/2024.
Tale clausola esclude dall’ambito di applicazione della NIS 2 le reti e i sistemi già sottoposti alla disciplina del PSNC. Tuttavia, qualora esistano reti o sistemi informativi che non ricadano nel PSNC, ma che siano comunque rilevanti ai fini della NIS 2, questi soggetti dovranno procedere alla registrazione sulla piattaforma digitale predisposta dall’Agenzia per la Cybersicurezza Nazionale (ACN). La registrazione deve essere effettuata – a seconda dei casi – entro il 17 gennaio 2025 o entro il 28 febbraio 2025, come già approfondito in un precedente articolo.
Per quanto riguarda l’obbligo di notifica degli incidenti, il Decreto NIS 2 prevede una deroga per gli incidenti che riguardano reti e sistemi informativi già sottoposti alla disciplina del PSNC. In questi casi, gli incidenti non devono essere notificati secondo le disposizioni del D. Lgs. 138/2024. Tuttavia, se l’incidente riguarda reti o sistemi esterni al PSNC, ma comunque soggetti alla normativa NIS 2, si ritiene che i soggetti debbano rispettare i termini di notifica stabiliti dagli artt. 25 e 42 del decreto.
Un ulteriore obbligo riguarda la comunicazione dell’elenco delle attività e dei servizi svolti dai soggetti, con la loro caratterizzazione e categorizzazione. Tale obbligo entrerà in vigore a partire dal 1° gennaio 2026, e da quella data i soggetti saranno tenuti a fornire annualmente le informazioni relative alle sole reti e sistemi che non rientrano nel Perimetro di Sicurezza Nazionale.
Entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, gli enti già inclusi nel PSNC dovranno inoltre adottare le misure di gestione del rischio e le misure di sicurezza previste dal Decreto NIS 2 per le reti e i sistemi non coperti dal PSNC. È possibile ritenere che, se tali misure sono analoghe a quelle previste dall’art. 1, comma 3, lettera b), del D.L. 105/2019, esse saranno considerate equivalenti a quelle richieste dal D. Lgs. 138/2024.
In conclusione, questa checklist fornisce un quadro orientativo degli adempimenti necessari per i soggetti già inclusi nel Perimetro e ora soggetti anche alla normativa NIS 2. Tuttavia, la complessità della disciplina e le peculiarità di ciascun soggetto richiedono una valutazione approfondita che solo una consulenza legale esperta può offrire. Il nostro studio legale è a disposizione per assistere le imprese e le pubbliche amministrazioni in tutte le fasi del processo di conformità alle normative sulla cybersicurezza.
Checklist di adempimenti
- Verifica se l’organizzazione rientra nei settori degli Allegati I e II, o se possiede una qualifica prevista dagli Allegati III e IV del D. Lgs. 138/2024.
- Valuta se ci sono reti o sistemi informativi che non ricadono nella clausola di esclusione ai sensi dell’art. 33, comma 1, lett. b) D. Lgs. 138/2024
- Se esistono reti o sistemi extra Perimetro, procedi alla registrazione sulla piattaforma ACN entro il 17 gennaio 2025 o 28 febbraio 2025.
- Fornisci le ulteriori informazioni richieste dal Decreto NIS 2 entro il 31 maggio 2025
- Gli incidenti relativi a reti intra Perimetro non richiedono notifica secondo il D. Lgs. 138/2024, mentre gli incidenti extra Perimetro devono essere notificati secondo le tempistiche NIS 2.
- Dal 1° gennaio 2026, comunica annualmente l’elenco delle attività e dei servizi per le reti e sistemi extra Perimetro, includendo caratterizzazione e categorizzazione.
- Entro 18 mesi dall’inserimento nell’elenco NIS, adotta le misure di gestione del rischio e sicurezza per le reti e sistemi extra Perimetro, con possibili equivalenze alle misure PSNC.
Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex
SCARICA QUI IL PDF DELLA CHECKLIST: Checklist_NIS2_Perimetro_dagostinolex
Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2 e Perimetro, gestione del rischio e incidenti informatici
da Redazione | Ott 6, 2024 | Diritto d'Impresa, Consulenze Legali
Con il Decreto Legislativo 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, l’Italia ha finalmente recepito la Direttiva NIS 2. Il decreto introduce un quadro normativo più rigoroso e articolato, imponendo a soggetti pubblici e privati nuovi obblighi di gestione del rischio e di notifica di incidenti di sicurezza informatica. Nel dettaglio la normativa individua due principali categorie di soggetti: essenziali e importanti, imponendo loro differenti livelli di adempimento.
In questo articolo, intendiamo offrire una guida pratica per le imprese sulle principali scadenze e adempimenti previsti dal decreto, fornendo un quadro chiaro delle tempistiche e delle misure da adottare per evitare le pesanti sanzioni previste per le violazioni. In attesa di una nostra successiva pubblicazione più dettagliata, questo contributo vuole essere un primo strumento di orientamento per conformarsi alla nuova normativa in modo efficace e tempestivo.
Chi sono i soggetti tenuti all’applicazione del Decreto NIS 2?
Il D. Lgs. 138/2024 NIS 2 si applica a una vasta gamma di soggetti, pubblici e privati, che operano in settori considerati di primaria rilevanza per gli interessi della collettività. L’articolo 3, unitamente agli Allegati I, II, III e IV, identifica con precisione tali soggetti, distinguendoli in due grandi categorie: amministrazioni pubbliche e soggetti essenziali/ importanti.
Senza pretese di esaustività, basti in questa sede ricordare che, per quanto riguarda gli enti pubblici, il Decreto NIS 2 si applica a tutte le amministrazioni centrali dello Stato, come individuate nell’Allegato III, comprendendo, tra gli altri, ministeri, agenzie governative, autorità indipendenti, amministrazioni regionali, comuni oltre i 100.000 abitanti e altri enti pubblici (che forniscono, ad esempio, servizi di interesse economico generale, società in house, società partecipate e società a controllo pubblico etc.).
D’altro lato, per gli enti (essenzialmente) privati, il decreto distingue tra soggetti essenziali e soggetti importanti, in base alla rilevanza dei settori in cui operano. I soggetti essenziali, come definiti nell’Allegato I, operano in settori altamente critici per la sicurezza nazionale, tra cui l’energia, i trasporti, la sanità, la gestione delle risorse idriche e le infrastrutture digitali. Tuttavia, la qualifica spetta ai soggetti che superano i massimali previsti per le medie imprese, come stabilito dalla raccomandazione 2003/361/CE. Ciò esclude che le imprese di più ridotte dimensioni, a meno che non siano esplicitamente classificate come critiche o operino in determinati ambiti (es. prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello), siano annoverate tra i soggetti essenziali. Le P.A. centrali figurano di diritto tra i soggetti essenziali.
Rientrano invece tra i soggetti importanti, per sottrazione, quelli che non sono ritenuti essenziali e coloro che operano nei settori di cui all’Allegato II. Quest’ultimo individua alcuni settori come i servizi postali, la gestione dei rifiuti la produzione di sostanze chimiche o di dispositivi medici, e i fornitori di servizi digitali. Anche in questo caso, l’applicazione della normativa è subordinata, salvo eccezioni, al superamento dei massimali per le piccole imprese.
NIS 2: la registrazione sulla piattaforma e il meccanismo di designazione. Quali termini?
Con il recepimento della Direttiva NIS 2 è stato significativamente ampliato il numero di soggetti tenuti a conformarsi agli obblighi di cybersicurezza. Rispetto al passato, la NIS 2 coinvolge una gamma più ampia di settori e soggetti, estendendo gli obblighi anche a categorie di soggetti e settori di attività prima non considerati. Questo ampliamento ha reso opportuno prevedere la creazione di una piattaforma digitale, gestita dall’Autorità nazionale competente NIS, attraverso la quale i soggetti interessati devono registrarsi o aggiornare le informazioni necessarie.
Nel dettaglio, l’art. 7, comma 1, del decreto NIS 2 stabilisce che a partire dal 1° gennaio di ogni anno, e non oltre il 28 febbraio, i soggetti obbligati devono registrarsi o aggiornare la propria registrazione sulla piattaforma digitale. Questa registrazione è fondamentale per consentire all’Autorità NIS di svolgere le sue funzioni di controllo e monitoraggio, e include la comunicazione di informazioni essenziali quali la ragione sociale, i recapiti aggiornati, l’indicazione di un punto di contatto e, ove applicabile, i settori e le tipologie di attività svolte.
In sostanza, l’ampiezza del perimetro di applicazione della normativa impone ora una maggiore responsabilità in capo ai soggetti privati, i quali devono attivarsi autonomamente per la registrazione sulla piattaforma, senza attendere un intervento attivo da parte dell’Autorità. Tale obbligo si applica sia ai soggetti essenziali che ai soggetti importanti, i quali devono comunicare tutte le informazioni relative alle proprie attività entro i termini previsti.
Tuttavia, l’art. 42 del decreto NIS 2 prevede un regime di prima applicazione per la registrazione, stabilendo che per alcune categorie specifiche di soggetti, come i fornitori di servizi di sistema dei nomi di dominio, di cloud computing e data center, la registrazione debba essere effettuata entro il 17 gennaio 2025.
Per gli altri soggetti, invece, il termine per completare la registrazione (in base al combinato disposto dagli artt. 7, comma 1 e 42) sembra fissato al 28 febbraio 2025. Tale obbligo appare comunque condizionato all’effettiva attivazione della piattaforma da parte dell’Autorità. Resta ferma la possibilità per i soggetti essenziali e importanti di registrarsi a partire dalla data di pubblicazione della piattaforma in esame.
Dopo aver ricevuto la registrazione sulla piattaforma, l’Autorità NIS verifica le informazioni trasmesse dai soggetti registrati; entro il 31 marzo di ogni anno, redige l’elenco dei soggetti essenziali e importanti. Successivamente, tramite la piattaforma digitale, comunica ai soggetti registrati il loro inserimento nell’elenco o eventuali aggiornamenti della loro posizione, e richiede eventuali integrazioni o ulteriori informazioni necessarie.
In caso di mancata registrazione o di tardiva registrazione sulla piattaforma digitale entro i termini stabiliti dall’art. 7 del D. Lgs. 138/2024 NIS 2, si applicano le sanzioni amministrative pecuniarie previste dall’art. 38. Le violazioni relative alla mancata registrazione sono punite con sanzioni che, per i soggetti essenziali, possono arrivare fino allo 0,1% del fatturato annuo su scala mondiale (o per i soggetti importanti, lo 0,07% del fatturato annuo). Inoltre, in caso di mancata registrazione, potranno essere comunque contestate, ricorrendone i presupposti, anche le altre violazioni (si applica, in tal caso, la sanzione prevista per la violazione più grave aumentata fino al triplo).
NIS 2, adozione di misure di sicurezza e elencazione di attività e servizi. Quali termini?
Il D. Lgs. 138/2024 NIS 2 prevede una serie di obblighi stringenti in materia di sicurezza informatica che i soggetti essenziali e importanti devono rispettare, come delineato dagli articoli 23, 24 e 30. L’articolo 23 impone agli organi di amministrazione e direttivi dei soggetti essenziali e importanti di approvare e sovrintendere all’implementazione delle misure di gestione del rischio per la sicurezza informatica. Tali organi sono inoltre tenuti a promuovere una formazione specifica in materia di sicurezza informatica, sia per i dirigenti che per i dipendenti.
L’articolo 24 stabilisce gli obblighi specifici di gestione del rischio per la sicurezza informatica. I soggetti obbligati devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per prevenire o ridurre al minimo l’impatto di incidenti di sicurezza sui propri sistemi informativi e sui servizi offerti. Le misure devono essere basate su un approccio multi-rischio e comprendere politiche di sicurezza, gestione degli incidenti, continuità operativa, gestione della catena di approvvigionamento e sicurezza del personale.
L’articolo 30 del Decreto NIS 2, invece, prevede l’obbligo per i soggetti essenziali e importanti di fornire, attraverso la piattaforma digitale, un elenco delle attività e dei servizi svolti, comprensivo della loro caratterizzazione e categorizzazione, al fine di permettere una valutazione accurata dei rischi associati a ciascuna attività. Tale elenco deve essere comunicato annualmente tra il 1° maggio e il 30 giugno, a partire dall’anno successivo alla registrazione sulla piattaforma digitale.
Tuttavia, come previsto dall’articolo 42 del decreto NIS 2, l’obbligo di comunicare l’elenco delle attività e dei servizi entrerà in vigore a partire dal 1° gennaio 2026, fornendo così ai soggetti coinvolti un ampio margine di tempo per adeguarsi.
Per quanto riguarda gli obblighi previsti dagli articoli 23 e 24 del Decreto NIS 2, essi dovranno essere rispettati entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti, come stabilito dall’articolo 42. Questo termine dilazionato garantisce ai soggetti il tempo necessario per implementare tutte le misure di sicurezza richieste dalla normativa, evitando che l’applicazione sia immediata e repentina.
Notifica degli incidenti. Quali termini?
Il decreto di recepimento della NIS 2, all’art. 25, introduce un obbligo stringente per i soggetti essenziali e importanti di notificare ogni incidente significativo che possa avere un impatto rilevante sulla fornitura dei loro servizi. L’incidente è considerato significativo quando provoca o ha il potenziale di provocare gravi perturbazioni operative o perdite finanziarie per il soggetto, o quando ha ripercussioni significative su altre persone fisiche o giuridiche, causando perdite materiali o immateriali rilevanti.
La norma stabilisce i termini precisi per la notifica degli incidenti al CSIRT Italia. Entro 24 ore dal momento in cui un soggetto è venuto a conoscenza di un incidente significativo, è richiesto l’invio di una pre-notifica, che, ove possibile, deve indicare se l’incidente può essere il risultato di atti illegittimi o malevoli o se ha un impatto transfrontaliero.
Successivamente, entro 72 ore dalla scoperta dell’incidente, il soggetto deve trasmettere una notifica completa, contenente una valutazione iniziale dell’incidente, comprensiva della sua gravità e impatto. In seguito, il soggetto può essere tenuto a fornire una relazione intermedia, seguita da una relazione finale entro un mese dall’invio della notifica completa, contenente una descrizione dettagliata dell’incidente, le misure di attenuazione adottate e l’impatto transfrontaliero, ove noto.
In base a quanto previsto dall’art. 42, l’obbligo di notifica degli incidenti si applicherà gradualmente. Nella fase di prima applicazione, il termine per l’adempimento degli obblighi di notifica è fissato in nove mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti da parte dell’Autorità nazionale competente NIS.
Tuttavia, per i soggetti che sono già stati identificati come operatori di servizi essenziali ai sensi del D. Lgs. 65/2018, l’obbligo di notifica degli incidenti e gli altri obblighi previsti dalle vecchie disposizioni continueranno a rimanere in vigore fino all’applicazione delle nuove regole stabilite dal D. Lgs. 138/2024 NIS 2.
In particolare, i capi IV e V del D. Lgs. 65/2018, che disciplinano rispettivamente la gestione della sicurezza informatica e la notifica degli incidenti, continueranno ad applicarsi ai soggetti già inclusi nell’elenco NIS. Questo regime transitorio sarà valido fino all’adozione dei nuovi provvedimenti attuativi previsti dall’articolo 40 del D. Lgs. 138/2024 NIS 2. Tali provvedimenti attuativi definiranno nel dettaglio le nuove modalità di applicazione della normativa NIS 2 e sostituiranno definitivamente le vecchie regole.
Calendario delle scadenze per i destinatari del D. Lgs. 138/2024 NIS 2
Per le imprese e le pubbliche amministrazioni interessate, è fondamentale monitorare con attenzione le scadenze previste e procedere tempestivamente all’adempimento degli obblighi imposti dal decreto. Pertanto, a chiusura di questa breve guida operativa riportiamo, a valere come riassunto delle considerazioni dei paragrafi precedenti, uno scadenziario delle deadline che – presumibilmente – i destinatari della disciplina si troveranno a dover rispettare.
In ogni caso, si tenga presente che, ai sensi dell’art. 40 del D. Lgs. 138/2024 NIS 2, con apposite determinazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN), saranno stabiliti i termini, le modalità e i procedimenti di utilizzo e accesso alla piattaforma digitale prevista dall’articolo 7, comma 6. Saranno inoltre specificate le ulteriori informazioni che i soggetti obbligati dovranno fornire. Analogamente, l’ACN stabilirà le categorie di rilevanza e le modalità di elencazione e categorizzazione delle attività e dei servizi, in linea con l’art. 30. Pertanto, alcune delle scadenze previste dal calendario potrebbero essere condizionate all’effettiva attivazione della piattaforma di registrazione e alla pubblicazione delle determinazioni dell’ACN.
Il nostro studio legale è a disposizione per fornire assistenza e consulenza su ogni aspetto della normativa NIS 2, aiutandovi a comprendere appieno gli obblighi e a rispettare le scadenze, al fine di garantire la piena conformità alle nuove disposizioni. Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex
Ecco un dettaglio delle scadenze.
17 gennaio 2025:
Entro questa data, alcune categorie specifiche di soggetti, come fornitori di servizi di sistema dei nomi di dominio, gestori di registri di nomi di dominio, fornitori di cloud computing e data center, dovranno completare la registrazione sulla piattaforma digitale. Questa scadenza è condizionata all’attivazione della piattaforma di registrazione e alla pubblicazione delle modalità di accesso stabilite dall’ACN.
28 febbraio 2025:
Entro il 28 febbraio 2025, tutti gli altri soggetti essenziali e importanti identificati dal decreto dovranno completare la registrazione o l’aggiornamento delle informazioni richieste sulla piattaforma digitale, in conformità all’art. 7, comma 1 del Decreto NIS 2. Anche questa scadenza dipende dall’attivazione effettiva della piattaforma.
31 marzo 2025:
L’Autorità nazionale competente NIS redigerà, entro il 31 marzo di ogni anno, l’elenco dei soggetti essenziali e importanti sulla base delle registrazioni effettuate. Anche il rispetto di tale scadenza dipenderà, verosimilmente, dall’attivazione effettiva della piattaforma.
31 maggio 2025:
I soggetti che hanno ricevuto la comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti (prevista entro il 31 marzo 2025), sono tenuti, tramite la piattaforma digitale, a fornire o aggiornare le seguenti informazioni: lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso, l’elenco degli Stati membri in cui forniscono servizi rilevanti ai sensi del decreto, e i nominativi degli apicali responsabili dell’adempimento degli obblighi previsti dal decreto. Ciò postula che siano state adottate le determine di attivazione della piattaforma e sia stato comunicato l’effettivo inserimento nell’elenco dei destinatari della disciplina.
Entro 9 mesi dalla comunicazione di inserimento nell’elenco:
A partire dalla data della comunicazione di inserimento nell’elenco, i soggetti avranno un termine di nove mesi per iniziare ad adempiere agli obblighi di notifica degli incidenti previsti dall’art. 25. Resta fermo quanto previsto dalla disciplina transitoria per soggetti già inclusi tra gli operatori NIS.
1° gennaio 2026:
L’obbligo di comunicare l’elenco delle attività e dei servizi, comprensivo della loro caratterizzazione e categorizzazione, entrerà in vigore a partire dal 1° gennaio 2026. Da tale data, i soggetti dovranno fornire annualmente tali informazioni, come previsto dall’art. 30 del Decreto NIS 2. Anche questa scadenza appare condizionata alla definizione delle categorie di rilevanza e dei criteri di elencazione da parte dell’ACN.
Entro 18 mesi dalla comunicazione di inserimento nell’elenco:
Entro 18 mesi dalla ricezione della comunicazione, probabilmente a partire dal mese di ottobre 2026, i soggetti essenziali e importanti dovranno adempiere agli obblighi di gestione del rischio e delle misure di sicurezza previste dagli articoli 23 e 24 del Decreto NIS 2. Questo include l’approvazione delle politiche di gestione del rischio informatico e l’implementazione delle misure di sicurezza adeguate.
N.B. Le date sopra indicate sono orientative e non sostituiscono un parere legale circostanziato in base alle specifiche caratteristiche dell’operatore destinatario della disciplina NIS 2.
SCARICA QUI IL PDF: Deadlines_decreto_NIS2_dagostinolex
Contatta il nostro Studio per una consulenza sull’implementazione del Decreto NIS 2
Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2, gestione del rischio e incidenti informatici
da Redazione | Ott 3, 2024 | Diritto d'Impresa, Diritto Penale
Il falso in bilancio è un tema sempre attuale. Invero la redazione del bilancio rappresenta un momento di cruciale importanza per la vita di ogni impresa, poiché costituisce il principale strumento attraverso cui viene data evidenza della situazione patrimoniale, economica e finanziaria della società. Tale documento, destinato a essere scrutinato da una molteplicità di soggetti – dagli azionisti agli investitori, dai creditori agli enti regolatori – deve riflettere con la massima trasparenza la realtà aziendale, garantendo così la tutela dell’affidamento che il mercato ripone nell’impresa.
In un simile contesto, l’attenzione posta alla rappresentazione veritiera e corretta dei dati contabili non è solo una questione di precisione tecnica, ma costituisce una vera e propria responsabilità giuridica. Gli amministratori e i dirigenti delle società sono tenuti a rispettare rigorosi obblighi di legge in merito alla veridicità delle informazioni finanziarie riportate nei bilanci.
Il mancato rispetto di tali obblighi, come noto, espone gli organi apicali dell’impresa non solo a sanzioni di natura civile e amministrativa, ma anche a gravi responsabilità penali, in particolar modo in relazione al reato di falso in bilancio (i.e. false comunicazioni sociali, art. 2621 c.c.). La delicatezza della materia impone, pertanto, una riflessione approfondita sui rischi derivanti da una rappresentazione contabile non conforme alle norme, con particolare riferimento alle implicazioni penalmente rilevanti.
L’obiettivo di questo contributo è quello di destare attenzione sull’importanza della corretta redazione dei bilanci e delle conseguenze derivanti da eventuali violazioni delle disposizioni di legge in materia (in particolare per falso in bilancio). Verranno analizzati i principali profili di rilevanza penale connessi alla redazione di bilanci non veritieri, con particolare riferimento al reato di false comunicazioni sociali, evidenziando altresì il ruolo fondamentale della prevenzione per una gestione aziendale conforme alla normativa e alle best practices di settore.
Sottovalutazione o sopravvalutazione delle voci patrimoniali. Falso in bilancio e impatto sulle decisioni economico-finanziarie
La corretta valutazione delle voci patrimoniali rappresenta un elemento centrale nella redazione del bilancio di esercizio, in quanto consente di fornire una rappresentazione veritiera e corretta della situazione economica e finanziaria dell’impresa. In tal senso, la sopravvalutazione o la sottovalutazione delle attività e delle passività costituiscono fattori distorsivi che possono alterare significativamente la percezione della salute finanziaria dell’azienda, con ripercussioni sulle decisioni degli stakeholder, quali investitori, creditori e partner commerciali.
La sopravvalutazione delle attività si verifica, ad esempio, quando i beni materiali o immateriali dell’impresa vengono iscritti a bilancio con valori superiori a quelli effettivi, violando il principio della prudenza contabile. Un esempio tipico riguarda l’iscrizione di immobili aziendali a un valore superiore a quello di mercato, basandosi su perizie non aggiornate o su criteri di valutazione eccessivamente ottimistici. Similmente, un altro caso ricorrente di sopravvalutazione si riscontra nella contabilizzazione di crediti verso clienti, che vengono mantenuti a bilancio come integralmente recuperabili, pur in presenza di segnali di difficoltà nel recupero, come inadempimenti protratti o situazioni di insolvenza degli stessi debitori. Questo comporta una rappresentazione artificiosa della liquidità e della capacità di incasso dell’impresa.
Dall’altra parte, la sottovalutazione delle passività si manifesta quando le obbligazioni dell’impresa vengono iscritte in bilancio a un valore inferiore a quello effettivo o vengono omesse del tutto, con il risultato di presentare una situazione finanziaria più solida di quella reale. Un esempio concreto di sottovalutazione riguarda il mancato accantonamento o un accantonamento insufficiente per passività potenziali, come le vertenze legali in corso, che potrebbero comportare esborsi significativi nel futuro. Un altro caso comune è la sottostima dei debiti verso fornitori o degli oneri fiscali, attraverso una rappresentazione dilazionata o inadeguata delle scadenze imminenti.
Tali distorsioni nella valutazione delle voci patrimoniali non solo compromettono la trasparenza e la veridicità del bilancio, ma incidono anche sulle scelte operative e strategiche di chi esamina questi dati. Un investitore, di fronte a una sopravvalutazione delle attività, potrebbe essere indotto a sovrastimare la redditività potenziale dell’impresa e a intraprendere decisioni di investimento basate su un quadro non realistico. Analogamente, un creditore potrebbe valutare erroneamente la capacità dell’impresa di onorare i propri debiti in presenza di una sottovalutazione delle passività, con conseguente rischio di esposizione finanziaria.
La responsabilità penale per falso in bilancio
La disciplina del falso in bilancio, contenuta negli artt. 2621 e 2622 del codice civile, individua tra i soggetti attivi del reato gli amministratori, i direttori generali, i sindaci e i liquidatori, ovvero coloro che rivestono un ruolo di responsabilità nella gestione e nella rappresentazione contabile della situazione economico-finanziaria dell’impresa.
La condotta incriminata consiste nella falsificazione o omissione di informazioni rilevanti all’interno dei bilanci, delle relazioni o di altre comunicazioni sociali destinate ai soci o al pubblico. Tali atti, se finalizzati a ingannare i destinatari o a ottenere per sé o per altri un vantaggio ingiusto, violano il principio della trasparenza contabile e la corretta informazione societaria.
Il reato si fonda sull’elemento soggettivo del dolo specifico, che si manifesta nell’intento fraudolento di alterare la rappresentazione della realtà societaria, influenzando in modo distorto le decisioni di terzi (investitori, creditori, soci, ecc.). Non basta, quindi, la semplice negligenza o imperizia; è richiesta la volontà consapevole di esporre fatti non rispondenti al vero o di omettere informazioni dovute.
Particolare rilievo assume il concetto di “fatti materiali rilevanti non rispondenti al vero”, che abbraccia tanto le falsità di natura oggettiva quanto le valutazioni soggettive che si discostano gravemente dai criteri ragionevoli o dalle prassi contabili generalmente accettate.
La questione del falso in bilancio valutativo è stata a lungo dibattuta in dottrina e giurisprudenza, con una svolta significativa nella sentenza delle Sezioni Unite della Corte di Cassazione n. 22474 del 31 maggio 2016. In questa decisione, la Corte ha chiarito che il falso valutativo, pur incentrato su stime e giudizi soggettivi, può configurare reato laddove tali valutazioni siano effettuate in maniera irragionevole e tale da alterare sostanzialmente la rappresentazione della situazione patrimoniale, economica o finanziaria della società.
Le Sezioni Unite hanno infatti sancito che, affinché si configuri il reato di falso in bilancio, non è necessario che la falsità riguardi un dato oggettivo e numerico. Anche le valutazioni soggettive, se basate su criteri manifestamente inappropriati, possono avere rilevanza penale, in quanto la legge mira a garantire la veridicità sostanziale del bilancio, non limitandosi ai meri aspetti formali. In questo senso, il falso valutativo si verifica quando gli amministratori adottano parametri di valutazione che si discostano in maniera irragionevole dai principi contabili o dalla realtà economica, con il risultato di fornire una falsa immagine della solidità patrimoniale e finanziaria della società.
La decisione ha, in sostanza, confermato l’importanza del rispetto dei principi di verità e prudenza nella redazione dei bilanci, confermando che il falso valutativo rappresenta ancora oggi un profilo rilevante nella prassi giudiziaria.
Tale condotta è spesso contestata dalle procure, soprattutto nei casi in cui la discrezionalità nella valutazione degli asset aziendali viene utilizzata in modo fraudolento per mascherare difficoltà economiche o manipolare le informazioni destinate al mercato. Di conseguenza, il falso valutativo continua a costituire un terreno centrale per le indagini in ambito societario, specie in contesti di crisi o di operazioni straordinarie, come fusioni o acquisizioni.
Prevenzione del falso in bilancio valutativo e responsabilità dell’ente ex D. Lgs. 231/2001
Il reato di falso in bilancio, rientrante tra i reati societari previsti dal nostro ordinamento, costituisce uno dei presupposti per la responsabilità amministrativa dell’ente ai sensi del D. Lgs. 231/2001. Qualora tale reato sia commesso da soggetti apicali o subordinati nell’interesse o a vantaggio dell’ente, la società può essere chiamata a rispondere con pesanti sanzioni, soprattutto in mancanza di un modello organizzativo idoneo e dell’istituzione di un Organismo di Vigilanza (OdV) deputato al controllo. Le sanzioni applicabili in tali casi possono variare dalle sanzioni pecuniarie fino a quelle interdittive, quali l’interdizione dall’esercizio dell’attività, il divieto di contrarre con la pubblica amministrazione e la sospensione o revoca di autorizzazioni e licenze, con gravi ripercussioni sulla continuità operativa dell’impresa.
Per prevenire efficacemente la commissione di reati come il falso in bilancio, i modelli organizzativi ex D. Lgs. 231/2001 devono prevedere un complesso di protocolli decisionali e di procedure di controllo volti a ridurre la discrezionalità nella valutazione delle voci patrimoniali, garantendo la veridicità e trasparenza delle comunicazioni sociali.
La costruzione di tali modelli richiede un’analisi approfondita delle specificità dell’impresa, ma in generale è necessario che essi prevedano misure che assicurino una rigorosa aderenza ai principi contabili generalmente accettati e che i criteri di valutazione adottati siano costantemente aggiornati in conformità alle migliori prassi. È altresì fondamentale che all’interno dell’organizzazione siano predisposte procedure interne per la revisione dei bilanci e delle valutazioni da parte di soggetti indipendenti rispetto a chi ha operato le stime contabili, garantendo così una separazione funzionale tra i ruoli di chi produce e chi verifica i dati contabili.
In aggiunta, è imprescindibile che ogni valutazione patrimoniale e finanziaria venga adeguatamente documentata, affinché vi sia traccia dei criteri seguiti e delle motivazioni sottostanti, a tutela dell’azienda nel caso di contestazioni future. Un altro aspetto rilevante è rappresentato dal ruolo dell’Organismo di Vigilanza, il cui compito è quello di monitorare l’efficace attuazione dei protocolli e delle procedure interne, con particolare attenzione a quei processi che lasciano margini di discrezionalità valutativa e che potrebbero esporre l’ente a rischi di false rappresentazioni contabili.
Accanto al reato di falso in bilancio e alla responsabilità amministrativa dell’ente, altre sanzioni possono trovare applicazione in tali contesti. In particolare, il sequestro preventivo e la confisca del profitto del reato rappresentano misure ulteriori a disposizione dell’autorità giudiziaria. Inoltre, sul piano civilistico, la società potrebbe essere esposta a azioni di responsabilità promosse da soci o creditori che abbiano subito un danno a causa della falsificazione contabile o di una rappresentazione non veritiera della situazione patrimoniale e finanziaria dell’impresa. A ciò si aggiunge il rischio di danno reputazionale, con un conseguente impatto negativo sulla fiducia del mercato e degli investitori.
In conclusione, la prevenzione del falso in bilancio valutativo assume una rilevanza fondamentale non solo per evitare le sanzioni penali e amministrative previste dalla normativa, ma anche per avviare efficaci pratiche di self-cleaning in situazioni di irregolarità ereditate da precedenti gestioni aziendali. L’adozione di modelli organizzativi conformi al D. Lgs. 231/2001 e la nomina di un adeguato Organismo di Vigilanza permettono all’impresa di dimostrare la propria buona fede e l’impegno nel prevenire illeciti futuri, contribuendo così a preservare la stabilità e la continuità aziendale, nonché a ristabilire un rapporto di fiducia con i propri interlocutori economici e finanziari.
Conclusioni sul falso in bilancio: sopravvalutazioni e sottovalutazioni
Le pratiche di sopravvalutazione e sottovalutazione delle voci patrimoniali e finanziarie della società sono purtroppo fenomeni diffusi in ambito aziendale, spesso frutto di una gestione non conforme ai principi contabili o di una volontà di alterare la percezione della salute economica dell’impresa.
In molti casi, i nuovi soggetti apicali, subentrando nella guida dell’azienda, si trovano a dover fronteggiare una situazione contabile non veritiera, frutto di scelte operate dalla precedente gestione. Questi ultimi sono chiamati a recuperare un quadro realistico delle consistenze patrimoniali, operando un’attenta revisione delle valutazioni precedenti per restituire un’immagine corretta della situazione economico-finanziaria.
Il falso in bilancio valutativo, come si è visto, riveste un ruolo di particolare rilevanza e non può essere trascurato, poiché non solo altera la rappresentazione contabile della società, ma può altresì configurare ipotesi di reato penalmente rilevanti. La giurisprudenza ha chiarito come anche le valutazioni soggettive possano dar luogo a responsabilità penali, qualora effettuate con criteri palesemente irragionevoli e tali da indurre in errore i destinatari delle informazioni societarie. Pertanto, le conseguenze di una gestione errata o fraudolenta dei bilanci non si limitano alla sfera civilistica o amministrativa, ma possono estendersi al piano penale, con ripercussioni dirette sugli organi di gestione della società.
Alla luce di tali considerazioni, si evidenzia l’importanza non solo di una corretta redazione e revisione periodica del bilancio, ma anche dell’implementazione e dell’aggiornamento costante del modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001. Tale strumento costituisce una difesa fondamentale per prevenire la commissione di reati societari, tra cui il falso in bilancio, e per garantire una gestione aziendale trasparente e conforme alla normativa vigente.
In questo contesto, il ruolo di una consulenza legale specializzata in diritto penale d’impresa si dimostra cruciale per assistere l’impresa nella predisposizione di adeguati protocolli di controllo e per tutelare gli organi apicali dai rischi connessi alla responsabilità penale e amministrativa.
Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex
da Redazione | Set 30, 2024 | Diritto d'Impresa
Negli ultimi anni, il concetto di responsabilità sociale d’impresa (CSR) ha acquisito un ruolo di crescente rilevanza all’interno dell’ordinamento giuridico e del contesto economico globale. La CSR si riferisce all’insieme di pratiche volontarie e di corporate compliance adottate dalle imprese con l’obiettivo di integrare preoccupazioni sociali e ambientali nelle loro operazioni commerciali e nei rapporti con i diversi stakeholders. In tale ambito, il perseguimento della sostenibilità è divenuto un principio cardine, soprattutto alla luce delle emergenti pressioni normative e delle aspettative della società civile in materia di riduzione delle emissioni di carbonio e di tutela ambientale.
Sul tema abbiamo anche dedicato uno specifico approfondimento sulla Direttiva europea sulla sostenibilità 2024/1760/UE (Corporate Sustainability Due Diligence Directive) a quale facciamo rinvio.
Il concetto di sostenibilità, inizialmente prerogativa di poche grandi imprese multinazionali, si è progressivamente esteso a tutte le aziende, a prescindere dalla loro dimensione o settore di appartenenza. Il mutato contesto normativo internazionale ed europeo, unitamente a una crescente sensibilità pubblica nei confronti delle tematiche ambientali, impone oggi alle imprese di adottare modelli di business sostenibili, non solo in un’ottica di responsabilità sociale, ma anche di competitività economica.
Alla luce delle sfide poste dal cambiamento climatico e dalla transizione ecologica, la sostenibilità non è più da considerarsi un mero accessorio, bensì un elemento strategico fondamentale, con rilevanti implicazioni sulla reputazione aziendale, sulla conformità normativa e sulle opportunità di crescita. In questo articolo, esamineremo le principali normative emergenti in materia di sostenibilità e CSR, nonché le opportunità di incentivi e agevolazioni riservate alle imprese che decidano di investire in pratiche sostenibili, contribuendo così alla realizzazione di un’economia più verde e inclusiva.
Il Quadro Normativo Europeo e Nazionale sulla Sostenibilità
Negli ultimi anni, l’Unione Europea ha assunto un ruolo di leadership globale nella promozione della sostenibilità ambientale e della responsabilità sociale d’impresa, attraverso l’introduzione di un complesso quadro normativo volto a favorire la transizione verso un’economia a basso impatto ambientale e climaticamente neutrale. Il pilastro di questa strategia è rappresentato dal Green Deal Europeo, un piano ambizioso adottato dalla Commissione Europea nel 2019, che mira a rendere l’Europa il primo continente a impatto zero entro il 2050. Il Green Deal introduce una serie di iniziative legislative e di politiche di ampio respiro, che includono non solo la riduzione delle emissioni di gas serra, ma anche la promozione dell’economia circolare, la protezione della biodiversità e la riduzione dell’inquinamento.
Tra le misure più significative introdotte dall’Unione Europea in questo contesto, vi è la Corporate Sustainability Reporting Directive (CSRD), che rappresenta una revisione della precedente direttiva sulla comunicazione non finanziaria (Non-Financial Reporting Directive – NFRD). La CSRD ha l’obiettivo di ampliare l’ambito soggettivo e oggettivo degli obblighi di trasparenza in materia di sostenibilità, estendendo i requisiti di rendicontazione anche alle imprese di medie dimensioni e rafforzando l’obbligo di divulgare informazioni dettagliate sugli impatti ambientali, sociali e di governance (ESG). Questo cambiamento segna una svolta importante, poiché impone alle aziende di considerare in maniera più sistematica e strutturata le proprie politiche in materia di sostenibilità, incentivando al contempo l’adozione di pratiche più trasparenti e responsabili.
A livello nazionale, l’Italia ha prontamente recepito le direttive europee, integrando il quadro normativo comunitario con una serie di misure interne finalizzate a promuovere la sostenibilità tra le imprese. Il recepimento della CSRD, ad esempio, ha comportato l’introduzione di norme specifiche che impongono alle aziende di adeguare i loro bilanci e le loro comunicazioni pubbliche per includere informazioni dettagliate sugli impatti ESG. Tuttavia, l’ordinamento italiano ha anche sviluppato strumenti autonomi per incoraggiare l’adozione di pratiche sostenibili. Un esempio è rappresentato dagli incentivi fiscali e finanziari concessi alle imprese che investono in tecnologie verdi, come le agevolazioni per l’acquisto di impianti fotovoltaici o per la realizzazione di interventi volti a migliorare l’efficienza energetica degli edifici aziendali.
Al fine di garantire il rispetto delle normative ambientali, il legislatore italiano ha inoltre rafforzato gli obblighi di compliance aziendale, introducendo modelli organizzativi che prevedono l’integrazione di procedure di monitoraggio e controllo interno delle pratiche sostenibili. Le imprese sono pertanto chiamate a dotarsi di strumenti che consentano di valutare e mitigare i rischi ambientali connessi alle loro attività, evitando così di incorrere in sanzioni per la mancata conformità alle normative. Questo approccio integrato, che combina obblighi normativi e incentivi economici, ha l’obiettivo di favorire la transizione delle aziende verso modelli di business più sostenibili, garantendo al contempo un elevato livello di tutela dell’ambiente e della salute pubblica.
Incentivi per le Imprese che Investono in Sostenibilità
A fronte di un quadro normativo sempre più stringente in materia di sostenibilità, sia a livello europeo che nazionale, il legislatore ha previsto una serie di misure incentivanti volte a promuovere e agevolare gli investimenti delle imprese in pratiche sostenibili. Questi incentivi si configurano come strumenti fondamentali per accompagnare le aziende nella transizione ecologica, riducendo i costi associati all’adozione di nuove tecnologie e procedure rispettose dell’ambiente.
In ambito europeo, uno dei principali strumenti di supporto per le imprese è rappresentato dal Next Generation EU, il piano di ripresa economica post-pandemica che, tra le sue priorità, pone un’enfasi particolare sulla transizione verde e digitale. Nell’ambito di questo programma, sono stati stanziati ingenti fondi destinati a finanziare progetti volti a ridurre le emissioni di carbonio, promuovere l’uso di energie rinnovabili e favorire l’economia circolare. Le imprese che intendono investire in tecnologie verdi o in processi produttivi più sostenibili possono dunque accedere a finanziamenti a tasso agevolato o a fondo perduto, migliorando la propria competitività sul mercato e contribuendo allo sviluppo di un’economia a basso impatto ambientale.
Anche a livello nazionale, il governo italiano ha introdotto una serie di agevolazioni fiscali per le imprese che investono in sostenibilità. Tra le misure più significative vi è il credito d’imposta per gli investimenti in beni strumentali nuovi, destinati a migliorare l’efficienza energetica delle attività produttive e a ridurre le emissioni inquinanti. Questo strumento permette alle aziende di ottenere un rimborso fiscale per una parte delle spese sostenute per l’acquisto di impianti o macchinari volti a ridurre il consumo energetico o a limitare l’impatto ambientale della produzione.
Oltre agli incentivi fiscali, le imprese possono accedere a contributi a fondo perduto per la realizzazione di interventi di sostenibilità. Ad esempio, esistono finanziamenti destinati all’implementazione di sistemi di gestione ambientale certificati, come quelli previsti dalla norma ISO 14001, che garantisce la conformità alle migliori pratiche internazionali in materia di tutela ambientale. Le imprese che ottengono tale certificazione non solo migliorano la loro reputazione sul mercato, ma beneficiano anche di una maggiore efficienza operativa, riducendo i costi legati ai consumi energetici e alle emissioni di gas serra.
Gli incentivi alla sostenibilità non si limitano tuttavia all’ambito energetico. Il legislatore ha infatti previsto specifiche misure di sostegno anche per le imprese che investono nell’economia circolare, favorendo la riduzione dei rifiuti e il riutilizzo delle risorse. Le imprese che implementano progetti volti a recuperare e riciclare materiali di scarto possono beneficiare di agevolazioni fiscali e finanziamenti dedicati, che consentono di ridurre i costi operativi e di migliorare la competitività in un mercato sempre più orientato verso modelli di produzione circolari.
In conclusione, il sistema di incentivi previsto per le imprese che investono in sostenibilità rappresenta una leva strategica fondamentale per promuovere l’adozione di pratiche responsabili dal punto di vista ambientale. Oltre a garantire una maggiore conformità normativa, questi incentivi consentono alle imprese di ottenere vantaggi competitivi significativi, accedendo a risorse finanziarie che possono essere reinvestite nella crescita e nello sviluppo sostenibile. In un contesto economico sempre più orientato verso la transizione ecologica, le aziende che adottano un approccio proattivo alla sostenibilità sono destinate a svolgere un ruolo di primo piano nel futuro dell’economia globale.
Vantaggi della CSR per le Imprese. Alcuni esempi.
L’adozione di pratiche di responsabilità sociale d’impresa (CSR) e di politiche di sostenibilità ambientale offre una serie di vantaggi significativi per le imprese, non solo in termini di conformità normativa, ma anche dal punto di vista economico e strategico. In primo luogo, l’implementazione di una strategia di sostenibilità permette alle aziende di migliorare la propria reputazione. In un contesto in cui i consumatori, gli investitori e le autorità di regolamentazione sono sempre più sensibili alle questioni ambientali e sociali, le imprese che dimostrano un impegno concreto verso la sostenibilità godono di una percezione pubblica più favorevole. Questo, a sua volta, può tradursi in una maggiore fidelizzazione della clientela e in una maggiore attrattività per gli investitori.
Un altro importante vantaggio per le imprese che adottano politiche di CSR è rappresentato dalla possibilità di ottenere un miglioramento dell’efficienza operativa. Investire in tecnologie che riducono il consumo energetico, minimizzano lo spreco di risorse e favoriscono l’utilizzo di materiali riciclati permette alle aziende di ridurre i costi operativi nel lungo termine. Inoltre, le imprese che adottano modelli di economia circolare possono beneficiare di un utilizzo più efficiente delle risorse, trasformando i rifiuti in nuove opportunità di produzione e di crescita.
Dal punto di vista strategico, l’impegno in politiche di sostenibilità rende le imprese più resilienti di fronte a rischi ambientali e normativi. Le aziende che anticipano i cambiamenti normativi in materia di sostenibilità sono meglio posizionate per affrontare le sfide future, evitando così sanzioni e costi legati alla conformità tardiva. In aggiunta, l’adozione di pratiche sostenibili facilita l’accesso a mercati internazionali sempre più orientati verso la transizione ecologica, aprendo nuove opportunità di business.
Diversi esempi di aziende italiane dimostrano come l’adozione di politiche di sostenibilità possa portare a benefici concreti e tangibili. Tra queste, il caso di Enel è particolarmente rilevante: l’azienda ha avviato un piano strategico di transizione energetica che l’ha portata a investire massicciamente in energie rinnovabili e a ridurre drasticamente le sue emissioni di carbonio. Enel non solo ha rafforzato la propria posizione di leader nel settore energetico, ma ha anche ottenuto importanti riconoscimenti internazionali per il suo impegno verso la sostenibilità, accrescendo così la propria reputazione e attrattiva per gli investitori.
Un altro esempio è quello di Ferrero, che ha integrato la sostenibilità nella sua catena di approvvigionamento, promuovendo pratiche agricole sostenibili per le coltivazioni di cacao e nocciole. Attraverso iniziative come il Ferrero Farming Values Program, l’azienda ha dimostrato come la responsabilità ambientale possa essere compatibile con la crescita economica e con la creazione di valore per tutti gli attori della filiera.
Questi esempi evidenziano come la sostenibilità non sia solo una questione etica, ma anche un’opportunità di sviluppo strategico per le imprese italiane.
Conclusioni. La sostenibilità come opportunità strategica
Per le imprese che desiderano adottare politiche di sostenibilità, è essenziale seguire un percorso strutturato e conforme alle normative vigenti. In primo luogo, risulta fondamentale effettuare un’analisi dell’impatto ambientale delle proprie attività, identificando le aree critiche in cui possono essere implementati miglioramenti. Questo processo richiede la valutazione del consumo energetico, delle emissioni di gas serra, dell’uso delle risorse naturali e della produzione di rifiuti.
Una volta identificati i punti su cui intervenire, le aziende possono procedere con l’adozione di strategie di sostenibilità mirate, che includono investimenti in tecnologie più efficienti e l’implementazione di modelli di economia circolare. È importante che le imprese formalizzino tali impegni attraverso l’adozione di sistemi di gestione ambientale certificati (ad esempio, secondo la norma ISO 14001), i quali garantiscono che l’azienda stia rispettando standard internazionali di sostenibilità e permettono una maggiore trasparenza verso i propri stakeholder.
Un altro passo cruciale è dato dalla redazione di report di sostenibilità o bilanci sociali, strumenti indispensabili per monitorare e comunicare pubblicamente i progressi raggiunti in materia di sostenibilità ambientale e responsabilità sociale. Questo tipo di documenti non solo contribuisce a rafforzare la reputazione aziendale, ma è anche spesso richiesto per accedere a finanziamenti pubblici e incentivi fiscali.
In definitiva, la sostenibilità non è più solo una necessità dettata dalle normative, ma un vero e proprio driver strategico per le imprese che intendono distinguersi nel mercato globale. Le aziende che scelgono di integrare politiche di responsabilità sociale d’impresa e sostenibilità ambientale nei loro modelli di business non solo rispondono alle crescenti aspettative normative, ma guadagnano un vantaggio competitivo significativo.
Tuttavia, adeguarsi a un quadro normativo in continua evoluzione e implementare una strategia di sostenibilità efficace può risultare complesso. Per questo motivo, è essenziale che le imprese siano supportate da una consulenza strategica in grado di guidarle attraverso le diverse fasi del percorso, garantendo il rispetto delle normative e massimizzando le opportunità derivanti dagli incentivi disponibili.
Abbiamo pertanto messo a punto un’assistenza completa e personalizzata alle imprese che desiderano intraprendere il percorso verso la sostenibilità, fornendo supporto nella gestione degli aspetti legali, normativi e contrattuali legati all’adozione di pratiche sostenibili. Grazie alla nostra esperienza e conoscenza approfondita delle normative europee e nazionali in materia di CSR e sostenibilità, possiamo aiutare le imprese a cogliere le opportunità offerte da questo nuovo scenario economico e a integrarle efficacemente nella loro strategia aziendale.
da Redazione | Set 27, 2024 | Diritto d'Impresa
Con il decreto Legislativo n. 134/2024 l’Italia ha recepito la Direttiva (UE) 2022/2557, nota come Direttiva CER, la quale introduce norme armonizzate per rafforzare la resilienza dei soggetti critici all’interno dell’Unione Europea. La Direttiva CER ha l’obiettivo di assicurare la protezione e la continuità delle attività di quei soggetti che forniscono servizi essenziali per il mantenimento delle funzioni vitali della società e dell’economia, intervenendo in settori quali l’energia, i trasporti, le telecomunicazioni, la salute pubblica, l’acqua potabile e molti altri.
In questo contesto, la Direttiva CER si distingue per il suo approccio olistico alla gestione dei rischi, coprendo una vasta gamma di minacce che includono non solo i rischi cibernetici (già regolati dalla Direttiva NIS 2), ma anche quelli fisici, naturali, accidentali e terroristici. Sebbene ci sia un’intersezione tra i soggetti disciplinati dalla CER e quelli regolati dalla NIS 2, l’introduzione della Direttiva CER mira a rafforzare ulteriormente la capacità degli Stati membri di prevenire, resistere e rispondere a incidenti di vario genere che potrebbero compromettere i servizi essenziali.
L’obiettivo di questo articolo è quello di esplorare il contenuto del D. Lgs. 134/2024 di recepimento della Direttiva CER, soffermandosi in particolare sui destinatari della normativa, sugli obblighi imposti ai soggetti critici e sul regime sanzionatorio che ne consegue.
I destinatari della Direttiva CER
I destinatari della Direttiva CER, come recepita dal Decreto Legislativo n. 134, comprendono una vasta gamma di soggetti pubblici e privati che operano in settori definiti critici, ovvero settori le cui attività sono essenziali per il funzionamento della società e dell’economia. In particolare, questi soggetti sono attivi nei seguenti settori: energia (elettricità, gas, petrolio), trasporti (stradale, ferroviario, aereo e via acqua), sanità, acqua potabile, acque reflue, infrastrutture digitali, banche e mercati finanziari, spazio e prodotti alimentari. In aggiunta, determinati segmenti della pubblica amministrazione sono anch’essi considerati critici, sebbene esistano eccezioni legate alla difesa nazionale, alla sicurezza pubblica e all’intelligence.
L’individuazione dei soggetti critici si basa su una valutazione della loro rilevanza per la fornitura di servizi essenziali e del possibile impatto che la loro interruzione avrebbe sulla società e sull’economia. Il Decreto, tramite le Autorità Settoriali Competenti (ASC), impone di eseguire periodiche valutazioni del rischio al fine di aggiornare l’elenco dei soggetti critici, riflettendo la dinamicità del panorama delle minacce.
Obblighi per i soggetti critici nella Direttiva CER e nel D. Lgs. 134/2024
Gli obblighi imposti ai soggetti critici dal Decreto Legislativo n. 134 del 2024, di recepimento della Direttiva CER, si articolano in una serie di disposizioni finalizzate a garantire la continuità dei servizi essenziali attraverso l’adozione di misure preventive, la gestione adeguata degli incidenti e il rapido ripristino delle operazioni in caso di interruzioni. Tali obblighi mirano a costruire un quadro di resilienza integrata, in cui la protezione delle infrastrutture critiche e la continuità operativa diventano un pilastro fondamentale per il funzionamento regolare della società e dell’economia.
Una delle principali preoccupazioni della normativa riguarda la capacità dei soggetti critici di prevenire e gestire gli incidenti. La prevenzione si concretizza nella necessità di adottare misure tecniche e organizzative idonee a ridurre la probabilità che si verifichino eventi critici, quali disastri naturali, attacchi terroristici o minacce interne.
La protezione delle infrastrutture fisiche, per esempio, deve essere garantita tramite strumenti di controllo degli accessi, sistemi di sorveglianza e barriere fisiche. Tali misure non si limitano alla protezione del perimetro fisico, ma coinvolgono anche la gestione del rischio a livello organizzativo e strategico, richiedendo un coordinamento costante con le autorità nazionali e la preparazione di piani di gestione delle crisi.
In caso di incidenti, i soggetti critici sono tenuti a gestire l’evento in modo efficace e a ridurre al minimo gli impatti sulla fornitura dei servizi. Questo richiede una pianificazione preventiva che includa la capacità di risposta rapida e un sistema di comunicazione efficace sia internamente che verso le autorità competenti. L’obbligo di gestione degli incidenti implica, quindi, che le entità critiche – destinatarie della Direttiva CER – debbano non solo essere preparate a fronteggiare eventi straordinari, ma anche a garantire una risposta tempestiva e coordinata.
Inoltre, la capacità di recupero post-incidente è un elemento essenziale: il decreto impone ai soggetti critici di predisporre piani di continuità operativa, con l’obiettivo di ripristinare rapidamente i servizi interrotti, adottando anche soluzioni alternative o temporanee per evitare il prolungamento delle interruzioni.
Un ulteriore obbligo cruciale è quello della formazione del personale. I soggetti critici devono assicurare che i propri dipendenti siano costantemente formati sui rischi che riguardano le infrastrutture critiche e siano preparati ad affrontare situazioni di emergenza. Non si tratta semplicemente di un addestramento tecnico, ma di una cultura della sicurezza e della resilienza che deve permeare tutti i livelli dell’organizzazione. In questo contesto, il personale con accesso a informazioni sensibili o a infrastrutture critiche deve essere sottoposto a rigorosi controlli dei precedenti personali, al fine di garantire che solo individui adeguatamente qualificati e affidabili possano gestire risorse critiche.
Il Decreto Legislativo n. 134, di recepimento della Direttiva CER, impone inoltre un obbligo fondamentale di notifica degli incidenti. In caso di eventi che compromettano la fornitura dei servizi essenziali, i soggetti critici sono tenuti a informare tempestivamente il Punto di Contatto Unico (PCU) e le Autorità Settoriali Competenti (ASC). Questa notifica ha l’obiettivo di garantire che le autorità siano pronte a intervenire e a coordinare le risposte necessarie per minimizzare gli impatti. L’importanza della notifica non risiede solo nel consentire alle autorità di rispondere in tempo reale, ma anche nel promuovere una cooperazione tra i diversi settori e Stati membri, laddove gli incidenti abbiano effetti a livello transfrontaliero.
Tutti questi obblighi, dalla prevenzione alla gestione delle crisi, alla notifica degli incidenti e alla cooperazione internazionale, fanno parte di un quadro complesso che richiede un elevato grado di preparazione e coordinamento. La Direttiva CER, così come recepita dal Decreto Legislativo n. 134, mira a costruire un sistema integrato di resilienza, dove la protezione delle infrastrutture critiche diventa un compito collettivo, che coinvolge sia i soggetti critici sia le autorità nazionali ed europee.
Il rispetto di tali obblighi, oltre a richiedere significativi investimenti in termini di risorse e competenze, implica una pianificazione continua e un monitoraggio costante delle infrastrutture e dei servizi essenziali.
Regime sanzionatorio: dalla Direttiva CER al D. Lgs. 134/2024
Il regime sanzionatorio previsto dal Decreto Legislativo n. 134 del 2024 per i soggetti critici è finalizzato a garantire la piena conformità agli obblighi di resilienza imposti dalla Direttiva CER. Le sanzioni si applicano in caso di mancata adozione delle misure di prevenzione, protezione e gestione degli incidenti, nonché in caso di violazione degli obblighi di notifica degli eventi critici alle autorità competenti. Le Autorità Settoriali Competenti (ASC) sono responsabili dell’applicazione delle sanzioni, agendo in coordinamento con il Punto di Contatto Unico (PCU), l’organo che coordina le attività di vigilanza e supervisione.
Le sanzioni previste dal decreto si articolano principalmente in sanzioni amministrative pecuniarie. Queste possono variare da un minimo di 25.000 euro fino a 125.000 euro, a seconda della gravità delle violazioni e della mancata adozione delle misure prescritte. Ad esempio, un soggetto critico che non implementa le misure di resilienza richieste, come stabilito dall’art. 14 del decreto, può essere soggetto a sanzioni che si collocano nella fascia più alta. Le sanzioni si applicano anche nel caso in cui il soggetto critico ometta di aggiornare il proprio piano di resilienza o non rispetti i protocolli di sicurezza riguardanti il personale.
Un altro caso in cui possono essere comminate sanzioni è l’inosservanza degli obblighi di notifica degli incidenti, come previsto dall’art. 16. Se un soggetto critico non informa tempestivamente le autorità competenti in merito a un incidente che può influire sulla continuità del servizio, potrebbe incorrere in sanzioni significative, soprattutto se il ritardo nella comunicazione ha determinato un aggravamento della situazione o ha compromesso la possibilità di un’adeguata risposta da parte delle autorità.
Inoltre, il decreto di recepimento della Direttiva CER prevede sanzioni più elevate in caso di reiterazione delle violazioni. La reiterazione comporta un aumento delle sanzioni fino al triplo dell’importo originario, con l’obiettivo di disincentivare ulteriori comportamenti non conformi e rafforzare l’efficacia delle disposizioni normative. Tale misura riflette l’intento del legislatore di garantire un alto livello di adempimento da parte dei soggetti critici, specialmente in quei settori di particolare rilevanza per la sicurezza nazionale e la stabilità economica.
Un ulteriore aspetto del regime sanzionatorio riguarda la possibilità che le autorità competenti possano intraprendere azioni correttive, come la richiesta di misure specifiche per sanare le violazioni riscontrate. Qualora il soggetto critico non si conformi a tali richieste entro i termini previsti, può essere soggetto a ulteriori sanzioni. In alcuni casi, le autorità potrebbero anche richiedere il coinvolgimento di organismi indipendenti per valutare l’adeguatezza delle misure adottate dai soggetti critici.
In sintesi, il sistema sanzionatorio del Decreto Legislativo n. 134, di recepimento della Direttiva CER, è strutturato per garantire il rispetto degli obblighi di resilienza e continuità operativa da parte dei soggetti critici. Le sanzioni, che variano in base alla gravità e alla reiterazione delle violazioni, mirano a incentivare l’adozione di misure adeguate per la protezione delle infrastrutture critiche e la gestione tempestiva degli incidenti.
Conclusioni sulla Direttiva CER e sul D. Lgs. 134/2024
Il Decreto Legislativo n. 134 del 2024, che recepisce la Direttiva CER (UE) 2022/2557, segna un passo fondamentale nella protezione delle infrastrutture critiche e nella gestione dei rischi a cui tali infrastrutture sono esposte. La crescente complessità del panorama delle minacce, che include non solo attacchi cibernetici, ma anche rischi fisici e naturali, ha reso necessaria una regolamentazione specifica, complementare alla Direttiva NIS 2, ma con un focus esteso alla resilienza complessiva dei soggetti critici. L’introduzione di obblighi rigorosi, volti a prevenire, gestire e mitigare le conseguenze di incidenti, riflette l’importanza di garantire la continuità di quei servizi essenziali che costituiscono il cuore pulsante della società e dell’economia.
Le sanzioni previste per la non conformità, che vanno da pene pecuniarie a interventi correttivi, sottolineano la rilevanza strategica di queste misure e l’impegno dell’Unione Europea nel promuovere un elevato livello di sicurezza e resilienza in tutti gli Stati membri. L’obiettivo finale del decreto è quello di creare un sistema integrato e armonizzato a livello europeo, in grado di rispondere efficacemente alle sfide del presente e del futuro, riducendo al minimo i rischi di interruzione dei servizi critici.
Tuttavia, l’attuazione pratica di questi obblighi può risultare complessa per molti soggetti critici, soprattutto per quelli che operano in settori altamente interconnessi e con infrastrutture vulnerabili a più tipi di minacce.
È quindi fondamentale che i soggetti coinvolti non solo adottino le misure richieste dalla normativa, ma si avvalgano anche di una consulenza legale qualificata per garantire la corretta implementazione di tali misure. Il nostro studio legale è a disposizione per fornire assistenza e supporto nella gestione delle nuove sfide legate alla resilienza delle entità critiche, aiutando le imprese a conformarsi agli obblighi normativi e a proteggere al meglio le proprie infrastrutture.
Per aggiornamenti sulla Direttiva CER e sulle normative in materia di cyber security seguici anche su: https://www.linkedin.com/company/dagostinolex
Studio Legale D’Agostino a Roma: consulenza su Decreto NIS 2, Direttiva CER, cyber security e sicurezza informatica, con definizioni chiave su incidenti, vulnerabilità e misure di sicurezza
da Redazione | Set 25, 2024 | Diritto civile, Diritto d'Impresa
I patti parasociali rappresentano uno strumento di regolazione fondamentale nelle dinamiche societarie, particolarmente rilevante nel contesto delle start-up. Queste ultime sono caratterizzate da una fase iniziale di grande incertezza e dinamicità, in cui i rapporti tra i soci e gli investitori devono essere stabilizzati attraverso strumenti giuridici flessibili, che consentano di risolvere ex ante potenziali conflitti e di preservare la stabilità della governance.
Nel presente articolo si approfondirà la natura dei patti parasociali, la loro disciplina giuridica, i limiti e le cause di nullità, e l’importanza che rivestono per le start-up, evidenziandone il ruolo cruciale nella strutturazione dell’impresa e nella gestione dei rapporti tra i soci.
I patti parasociali: definizione e disciplina normativa
I patti parasociali sono accordi negoziali tra i soci di una società (o tra i soci e terzi), stipulati con lo scopo di regolare specifici aspetti della vita societaria, spesso in deroga o integrazione rispetto alle norme statutarie o legislative. Essi rappresentano una manifestazione dell’autonomia contrattuale dei soci, consentendo di disciplinare materie che lo statuto potrebbe non trattare in maniera dettagliata o che richiedono flessibilità nell’interpretazione delle regole societarie.
A differenza dello statuto o degli atti costitutivi, che disciplinano in modo formale e pubblico l’organizzazione e il funzionamento della società, i patti parasociali sono accordi privati, vincolanti esclusivamente per i soci contraenti e non per la società o per i soci non firmatari. La natura privatistica di questi accordi rende i patti parasociali particolarmente adatti a governare dinamiche interne specifiche, come il coordinamento del voto in assemblea, la nomina degli amministratori, la distribuzione degli utili o la regolazione della cessione delle partecipazioni sociali.
A livello normativo, i patti parasociali trovano la loro disciplina principale negli artt. 2341-bis e 2341-ter del Codice Civile, che si riferiscono specificamente alle società per azioni. L’articolo 2341-bis prevede che la durata dei patti parasociali non possa superare i cinque anni, salvo diversa pattuizione. Qualora i patti siano stipulati senza indicazione di una durata, essi si intendono automaticamente vincolanti per il termine di cinque anni, e la loro proroga deve essere esplicitamente concordata tra le parti contraenti. La proroga tacita non è ammessa, al fine di evitare vincoli perpetui che potrebbero compromettere la libertà contrattuale dei soci.
È importante sottolineare che, sebbene i patti parasociali non siano soggetti a pubblicità obbligatoria nelle società non quotate, nelle società quotate i patti devono essere resi pubblici e comunicati alla Consob, ai sensi dell’art. 122 del Testo Unico della Finanza (TUF). In mancanza di tale pubblicità, i patti parasociali perdono efficacia e non sono opponibili ai terzi.
Limiti ai patti parasociali e cause di nullità o invalidità
Sebbene i patti parasociali costituiscano una manifestazione dell’autonomia contrattuale dei soci, la loro stipulazione non è priva di limiti. I patti, infatti, non possono violare norme imperative o l’interesse generale della società, pena la loro nullità o invalidità. Tra i principali limiti ai patti parasociali, possiamo individuare, ad esempio, la durata eccessiva: il Codice Civile impone un limite massimo di cinque anni per i patti parasociali nelle società per azioni, salvo diversa pattuizione. Una durata superiore a cinque anni senza consenso esplicito delle parti o una proroga tacita renderebbe nullo l’accordo, poiché violerebbe le disposizioni imperative. Questo limite temporale mira a evitare vincoli contrattuali eccessivi che potrebbero comprimere la libertà contrattuale dei soci a lungo termine.
Inoltre, i patti parasociali non possono violare norme imperative dell’ordinamento giuridico. Ad esempio, non possono essere stipulati accordi che violino le regole sulla governance societaria previste dal Codice Civile, come la libertà di voto nelle assemblee o il diritto alla distribuzione degli utili secondo le quote di partecipazione. In tali casi, il patto potrebbe essere dichiarato nullo ai sensi dell’art. 1418 c.c.
In altri casi, sono stati ritenuti invalidi i patti che pregiudicano l’interesse generale della società. Un esempio è dato dai patti che limitano eccessivamente l’autonomia decisionale degli amministratori o che impediscono lo svolgimento di operazioni necessarie alla crescita o alla sopravvivenza della società. I patti che compromettono la funzionalità degli organi sociali o che paralizzano le decisioni strategiche vitali della società sono considerati contrari all’interesse sociale e, di conseguenza, nulli.
Inoltre, stando alla giurisprudenza prevalente, gli accordi parasociali devono rispettare il principio di parità di trattamento tra i soci, garantendo che tutti godano degli stessi diritti e doveri in proporzione alle loro partecipazioni. Patti che discriminano alcuni soci a favore di altri, senza una giustificazione legittima, sono considerati contrari al principio di uguaglianza e possono essere dichiarati nulli.
L’importanza dei patti parasociali nelle start-up
Nelle start-up innovative, la proprietà intellettuale (brevetti, software, marchi) e il know-how tecnico rappresentano spesso gli asset più preziosi, fondamentali per il vantaggio competitivo dell’impresa. I patti parasociali possono includere clausole volte a proteggere questi beni immateriali, assicurando che non vengano utilizzati impropriamente o sfruttati dai soci al di fuori del contesto societario.
In questo senso, le clausole di non concorrenza e non divulgazione (NDA) diventano cruciali: esse possono prevedere, ad esempio, che i soci fondatori non possano avviare attività concorrenti o che siano tenuti a mantenere riservate le informazioni aziendali sensibili, garantendo così che la proprietà intellettuale rimanga protetta anche in caso di uscita di uno dei soci.
Inoltre, nelle start-up è comune la necessità di gestire con attenzione le exit strategy. I patti parasociali permettono di disciplinare in modo dettagliato le modalità con cui i soci possono cedere le proprie partecipazioni o come la società stessa possa essere venduta a terzi.
Vi sono, per citare alcuni esempi, clausole come il drag-along, che consente al socio di maggioranza di obbligare i soci di minoranza a vendere le loro partecipazioni a un potenziale acquirente; oppure il tag-along, che garantisce ai soci di minoranza il diritto di partecipare alla vendita alle stesse condizioni del socio di maggioranza, sono strumenti fondamentali per assicurare trasparenza e equilibrio nelle operazioni di cessione, prevenendo situazioni conflittuali e proteggendo gli interessi di tutte le parti coinvolte.
Infine, un ulteriore aspetto rilevante riguarda la gestione dei conflitti e la prevenzione dello stallo decisionale, una questione particolarmente critica nelle start-up, dove i fondatori spesso hanno visioni divergenti su come guidare la crescita dell’impresa. I patti parasociali possono includere meccanismi di risoluzione delle controversie, come l’arbitrato o la mediazione, che offrono soluzioni rapide e meno costose rispetto al contenzioso giudiziale. Inoltre, possono prevedere sistemi per evitare lo stallo decisionale, come l’adozione di clausole che richiedano maggioranze qualificate per decisioni strategiche o meccanismi di risoluzione forzata dei conflitti.
In definitiva, i patti parasociali si rivelano strumenti essenziali per le start-up, in quanto permettono di governare in modo efficace le relazioni tra i soci, preservando la stabilità della governance e favorendo la crescita armoniosa della società. Essi fungono da rete di protezione per affrontare eventuali conflitti futuri e per garantire che le decisioni critiche vengano prese nel rispetto degli interessi comuni, senza compromettere la flessibilità e l’agilità che sono caratteristiche distintive delle imprese in fase di avvio.
Start-up, cessione di equity e partecipazione attiva nella società
I patti parasociali rivestono un ruolo cruciale nelle start-up non solo per regolamentare i rapporti tra soci, ma anche per assicurare che chi riceve quote di equity giustifichi il proprio coinvolgimento attraverso un contributo lavorativo concreto e continuativo.
In una start-up, spesso i soci fondatori, oltre a investire capitale, offrono le proprie competenze operative, tecnologiche o manageriali, essenziali per il successo dell’impresa. Tuttavia, l’attribuzione di equity non dovrebbe mai essere considerata un “premio” fine a sé stesso, ma piuttosto un incentivo che richiede una costante partecipazione attiva allo sviluppo del progetto.
Attraverso i patti parasociali, è possibile stabilire obblighi specifici per i soci che ricevono quote di capitale. Questi accordi possono includere clausole che vincolano il socio a determinati compiti o obiettivi, legando il mantenimento delle quote al raggiungimento di performance lavorative o all’effettivo impegno nella gestione dell’impresa. Tale struttura non solo motiva i soci a lavorare efficacemente per la crescita della start-up, ma assicura anche che l’equity distribuita sia legata a un apporto reale e misurabile.
Inoltre, i patti parasociali possono prevedere meccanismi di c.d. “vesting”, in cui le quote vengono acquisite progressivamente nel tempo, in modo da incentivare i soci a rimanere impegnati a lungo termine nel progetto. Se un socio decidesse di abbandonare l’impresa o non rispettasse i propri impegni, i patti possono stabilire la restituzione delle partecipazioni o la riduzione del loro valore, proteggendo così la società da una distribuzione ingiustificata di capitale.
In sintesi, i patti parasociali nelle start-up sono fondamentali per garantire che l’equity sia non solo una ricompensa, ma uno strumento di responsabilità, legato alla dedizione lavorativa e al contributo reale che ogni socio apporta alla crescita dell’impresa.
Conclusioni in punto di patti parasociali
In conclusione, i patti parasociali rappresentano un pilastro fondamentale nella regolamentazione delle dinamiche interne di una società, soprattutto nel contesto delle start-up. La loro capacità di adattarsi alle specifiche esigenze dei soci e di integrare la disciplina prevista dallo statuto consente di gestire con maggiore precisione e flessibilità i rapporti tra i soci fondatori e gli investitori, assicurando al tempo stesso una governance solida e trasparente. Se utilizzati correttamente, i patti parasociali possono prevenire conflitti, proteggere gli asset strategici della società, e garantire una gestione equilibrata delle partecipazioni e delle decisioni societarie più importanti.
Tuttavia, è essenziale che tali accordi vengano redatti con attenzione, nel rispetto dei limiti imposti dalla legge e dalla prassi giurisprudenziale. La presenza di clausole che violano norme imperative, ledano l’interesse della società o pregiudichino i diritti dei soci non firmatari potrebbe condurre alla nullità o all’invalidità dei patti, compromettendo l’equilibrio societario. Di conseguenza, è sempre consigliabile che i patti parasociali siano redatti con l’assistenza di professionisti legali competenti, in modo da garantire la conformità normativa e la tutela degli interessi di tutte le parti coinvolte.
Exit strategy e acquisto di quote societarie – Assistenza legale dello Studio D’Agostino – Roma
