La cybersicurezza frontiera della responsabilità d’impresa

Ne consegue che i vertici aziendali devono non solo approvare formalmente il modello organizzativo, ma anche assumere un impegno concreto nella sua attuazione.
Allo stesso tempo i modelli 231 non possono più limitarsi a identificare i rischi e a prevedere misure di controllo formali ma devono essere in grado di dimostrare che tali controlli sono realmente efficaci, aggiornati e integrati nella gestione quotidiana dell’organizzazione. La prevenzione diventa così un processo continuo che richiede il coinvolgimento delle funzioni operative e degli organi di vigilanza.
In tal senso l’intelligenza artificiale offre strumenti straordinari per rafforzare questa capacità di controllo. Sistemi di monitoraggio avanzato, analisi comportamentali, rilevazione automatica delle anomalie e piattaforme capaci di elaborare enormi quantità di dati consentono di individuare segnali di rischio con una rapidità impensabile fino a pochi anni fa. Tuttavia, allo stesso tempo, l’evoluzione tecnologica introduce nuove criticità come il fenomeno della c.d. opacità algoritmica.
Se un’organizzazione non è in grado di ricostruire il percorso logico che ha portato un sistema di intelligenza artificiale a formulare una determinata decisione, diventa difficile attribuire responsabilità, verificare eventuali errori e dimostrare l’adeguatezza dei controlli adottati. In altre parole, aumentano i rischi di creare aree di irresponsabilità incompatibili con i principi fondamentali della governance moderna. Sistemi formalmente corretti possono peraltro generare seri problemi se inseriti in processi decisionali non adeguatamente gestiti.
I rischi informatici possono inoltre originare da fornitori, partner commerciali, consulenti o altri soggetti terzi che accedono ai sistemi o ai dati dell’impresa. La missione degli organismi di vigilanza, delle funzioni di risk management, dei responsabili della sicurezza informatica e della protezione dei dati deve pertanto proiettarsi anche oltre i confini aziendali. Diventa quindi essenziale introdurre procedure di due diligence, clausole contrattuali di sicurezza e meccanismi di verifica come audit, questionari e certificazioni. Occorre stabilire chi può accedere ai sistemi, con quali credenziali, secondo quali autorizzazioni e con quali controlli nonché garantire il raccordo tra i presidi cyber e l’OdV, anche tramite flussi informativi tempestivi, soprattutto in caso di incidenti di sicurezza informatica, data breach, esiti negativi delle simulazioni di phishing, segnalazioni di whistleblowing, modifiche normative o provvedimenti delle autorità competenti. Allo stesso tempo l’OdV può e deve prevedere specifiche verifiche sull’effettività e completezza della formazione in ambito cybersicurezza.
Source link

