Spionaggio informatico, investigazioni aziendali, uso di strumenti informatici e responsabilità degli enti: nuove frontiere applicative del d.lgs. 231/2001

Una recente inchiesta giudiziaria milanese relativa a presunte attività di accesso abusivo a sistemi informatici, acquisizione illecita di informazioni e monitoraggio occulto di dipendenti e soggetti terzi, ha portato al centro del dibattito un tema ancora relativamente poco esplorato nella prassi applicativa del d.lgs. 231/2001 ossia quello della responsabilità amministrativa dell’ente derivante da fenomeni di corporate intelligence illecita e di spionaggio informatico commissionati, direttamente o indirettamente, da esponenti aziendali.

L’interesse del caso non risiede tanto nel dato penalistico individuale – pur rilevante – quanto piuttosto nella possibile estensione della responsabilità agli enti coinvolti, sulla base del presupposto che le condotte sarebbero state realizzate nell’interesse o a vantaggio delle società.

È proprio su tale profilo che le recenti indagini pongono le questioni più delicate. Le condotte contestate sembrano infatti inserirsi, almeno in ipotesi, all’interno di strategie aziendali finalizzate, tra le altre, alla protezione di interessi economici, alla gestione di conflitti interni, alla verifica di sospetti fenomeni fraudolenti. Tutti obiettivi che, astrattamente considerati, rientrerebbero pienamente nell’interesse dell’impresa.

In questa prospettiva, il rischio per gli enti consiste nella possibile contestazione secondo cui l’attività illecita sarebbe stata posta in essere per soddisfare esigenze organizzative, difensive o competitive dell’impresa.

In tale contesto, i modelli 231 dovranno probabilmente evolvere verso una più precisa mappatura dei rischi di intelligence illecita e quindi dotarsi di protocolli per la gestione delle attività investigative e sui sistemi di monitoraggio.

I sistemi di monitoraggio

L’uso di sistemi di monitoraggio pone poi ulteriori questioni collegate alla cybersecurity e all’eventuale uso di sistemi di AI.

Rispetto del framework NIS2

Per i soggetti chiamati al rispetto degli obblighi derivanti dalla normativa NIS2 (Direttiva UE 2022/2555 recepita in Italia con il D.Lgs. 138/2024), l'art. 24 del D.Lgs. 138/2024 impone l'adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi informativi. Tra le misure obbligatorie figurano: politiche di analisi dei rischi e sicurezza dei sistemi informativi, gestione degli incidenti, continuità operativa e gestione delle crisi, sicurezza della catena di approvvigionamento, pratiche di igiene informatica di base, politiche e procedure relative all'uso della crittografia.

Un profilo di particolare rilevanza riguarda la sicurezza della catena di approvvigionamento (art. 24, co. 2, lett. d, D.Lgs. 138/2024). Le imprese sono tenute a valutare i rischi di cybersicurezza specifici di ciascun fornitore e a inserire clausole contrattuali adeguate. Nel contesto delle indagini su corporate intelligence illecita, questo profilo assume rilievo diretto ogni qualvolta le condotte illecite siano state esternalizzate a soggetti terzi — agenzie di investigazione privata, operatori IT — che agivano per conto dell'ente.

L'art. 23 D.Lgs. 138/2024 prevede inoltre la responsabilità diretta degli organi di amministrazione nell'approvazione e supervisione delle misure di gestione del rischio, con possibili sanzioni personali in caso di violazione. Questo elemento di governance crea un'ulteriore interfaccia con il sistema 231: la mancata implementazione di presidi NIS2 potrebbe rilevare — in una prospettiva evolutiva della giurisprudenza — anche ai fini della valutazione dell'adeguatezza del MOG.

Il D.Lgs. 138/2024 prevede, agli artt. 25-27, obblighi di notifica degli incidenti significativi all'ACN (Agenzia per la Cybersicurezza Nazionale) con tempistiche stringenti. Nella logica del MOG, questi flussi devono essere coordinati con le procedure di reportistica verso l'Organismo di Vigilanza, evitando che informazioni rilevanti ai fini 231 rimangano segregate nei dipartimenti IT senza essere portate all'attenzione degli organi di controllo.

Obblighi derivanti dall’uso di sistemi di AI

Qualora, poi, l’attività di intelligence venga svolta con l’utilizzo di sistemi di AI, i modelli 231 dovranno tenere in considerazione le previsioni del Reg. UE 2024/1689 (AI ACT), in particolare sull’uso di  sistemi ad alto rischio, e della Legge 132/2025 in materia di intelligenza artificiale, in quanto l'utilizzo di sistemi AI per finalità di sorveglianza occulta dei dipendenti, di profilazione comportamentale non trasparente o di intelligence competitiva illecita potrebbe integrare, simultaneamente, una violazione della normativa in materia di AI e un reato-presupposto rilevante ai sensi dell'art. 24-bis D.Lgs. 231/2001. Inoltre, la L. 132/2025 ha introdotto specifiche tutele per i lavoratori rispetto all'uso di sistemi automatizzati nelle decisioni che li riguardano, coordinandosi con l'art. 4 della L. 300/1970 (Statuto dei Lavoratori) sul controllo a distanza.

L'impiego di sistemi AI per il monitoraggio delle comunicazioni interne, la profilazione delle reti di relazione dei dipendenti o la raccolta massiva di dati comportamentali — ove non autorizzato secondo le procedure previste dall'art. 4, co. 1, Stat. Lav. (accordo sindacale o autorizzazione dell'Ispettorato del Lavoro) — può integrare il reato di intercettazione illecita o accesso abusivo a sistemi informatici, con conseguente attivazione del perimetro 231 oltre a sollevare questioni giuslavoristiche importanti.

Suggerimenti operativi

La scarsità di precedenti giurisprudenziali in materia di “spionaggio aziendale” come fonte di responsabilità dell’ente rende l'argomento odierno ambito di un terreno applicativo ancora in formazione, ma destinato con ogni probabilità a espandersi nei prossimi anni. Ciò comporta inevitabilmente margini di incertezza.

Le recenti indagini rappresentano comunque un segnale importante dell’evoluzione del sistema 231 verso ambiti sempre più connessi alla gestione delle informazioni, alla sicurezza digitale e alla governance dei dati.

È sempre più evidente che la compliance 231 deve confrontarsi con il governo delle informazioni digitali, integrando in modo sistematico i nuovi obblighi derivanti da NIS2 e regolamentazione dell’uso dell’AI. In concreto, le imprese dovranno agire su più livelli:

• Mappatura aggiornata dei rischi, includendo nella risk assessment 231 i reati di cui all'art. 24-bis D.Lgs. 231/2001 con specifico riferimento a scenari di corporate intelligence illecita, uso improprio di sistemi AI e violazioni della catena di approvvigionamento digitale, integrando la mappatura con la valutazione del rischio NIS2 ex art. 24 D.Lgs. 138/2024.
• Protocolli autorizzativi per attività investigative e strumenti di monitoraggio, definendo le funzioni aziendali autorizzate a commissionare attività di investigazione interna o a terzi, i requisiti di liceità degli strumenti utilizzati, le procedure di approvazione per l'adozione di sistemi AI di sorveglianza o profilazione.
• Clausole contrattuali con fornitori IT e AI, adeguando i contratti con i fornitori tecnologici agli standard NIS2 (art. 24, co. 2, lett. d, D.Lgs. 138/2024), includendo obblighi di conformità, diritti di audit, SLA di sicurezza e procedure di notifica degli incidenti.
• Audit periodici e segregazione delle funzioni, prevedendo audit specifici sulle attività investigative, sui sistemi di monitoraggio e sugli strumenti AI adottati e garantendo la separazione tra le funzioni che commissionano le attività di intelligence e quelle che le autorizzano e controllano.
• Coordinamento dei flussi di notifica, integrando le procedure di notifica degli incidenti ex D.Lgs. 138/2024 (verso ACN) con i flussi di reportistica verso l'OdV, evitando silos informativi tra dipartimenti IT, legal e compliance.