Il decreto attuativo della Legge Capitali modifica l’art. 123-bis del Testo Unico Finanziario (TUF), introducendo nuovi obblighi in materia di governance societaria. Le società per azioni sono tenute ora a rendere pubbliche le politiche adottate riguardo all’uso dell’intelligenza artificiale e alla gestione dei rischi informatici, in coerenza con il quadro normativo europeo, in particolare con la Direttiva NIS 2 e il Regolamento AI Act.
Il D.lgs. 27 marzo 2026, n. 47, che ha attuato la cosiddetta Legge Capitali (L. 5 marzo 2024, n. 21), apporta modifiche all’art. 123-bis del D.lgs. 24 febbraio 1998, n. 58. Queste modifiche aggiungono due nuove lettere al comma 2: la d-ter) e la d-quater), che impongono alle società un livello di trasparenza più elevato riguardo l’utilizzo delle nuove tecnologie e dei rischi informatici.
La d-ter) richiede che, nella relazione sulla governance societaria, siano riportate le politiche adottate in materia di utilizzo e monitoraggio dell’intelligenza artificiale, specificamente nei contesti di assetti amministrativi, organizzativi e contabili. La d-quater), invece, prevede che venga resa pubblica la descrizione delle politiche di gestione e monitoraggio dei rischi informatici, inclusi i rischi di cyber security e i rischi tecnologici connessi all’integrazione di nuove tecnologie.
La norma introduce un nuovo elemento obbligatorio alle relazioni di governance, trasformando in trasparenza obbligata informazioni che in precedenza potevano essere comunicate in maniera volontaria. La descrizione formale di tali politiche diventa, pertanto, uno snodo centrale per il bilancio sociale e un elemento di valutazione per gli investitori ai fini della governance del rischio tecnologico.
Il contesto normativo europeo
L’adempimento alle nuove norme nazionali deve essere letto anche nel contesto di un sistema di regolamentazione europea già complesso, che coinvolge diversi strumenti normativi chiave:
- Direttiva (UE) 2022/2555 (NIS 2): recepita in Italia con il D.lgs. 4 settembre 2024, n. 138;
- Regolamento (UE) 2024/2847 (Cyber Resilience Act o CRA): che disciplina la resilienza digitale;
- Regolamento (UE) 2022/2554 (DORA): dedicato alla cybersecurity nel settore finanziario;
- Regolamento (UE) 2024/1689 (AI Act): che introduce un framework di regolamentazione dell’intelligenza artificiale in base al livello di rischio.
I nuovi obblighi di disclosura, quindi, non costituiscono un mero adempimento formale: rappresentano l’esplicazione pubblica degli adempimenti tecnico-gestionali già richiesti da normativa europea e nazionale. Il mercato potrebbe interpretare la mancanza di tali informazioni, espressa dal legislatore come “ove adottate”, come una scelta strategica, da giustificare opportunamente.
Impatti sugli obblighi di compliance
Può emergere un rischio di incoerenza tra gli obblighi formali di governance e la conformità sostanziale richiesta da regolamenti europei come NIS 2 e AI Act. Ad esempio, l’AI Act richiede particolare attenzione nell’uso di sistemi di AI ad alto rischio in contesti finanziari e organizzativi, come quelli per la gestione delle risorse umane e la valutazione della credibilità bancaria. La lettera d-ter) potrebbe coincidere con le politiche obbligatorie imposte in forza dell’AI Act.
Allo stesso modo, l’art. 23 del decreto NIS richiama esplicitamente l’obbligo dei soggetti sottoposti ai requisiti NIS (società di interesse critico) di adottare politiche di gestione e monitoraggio dei rischi informatici. Gli organi di amministrazione e le figure di vertice, quindi, non possono limitarsi a redigere una relazione formale: sono direttamente responsabili dell’applicazione e della supervisione del piano di conformità.
Il rapporto tra governance formale e compliance sostanziale è rilevante, visto che l’approccio “compel o explain” richiede alle società un bilancio tra le strategie in-house e i requisiti obbligatori di compliance. In alcuni casi, potranno non esserci politiche formali adottate: in questi casi, la società dovrà dimostrare come gestisce autonomamente i rischi tecnologici.
L’approccio “compel o explain” per la disclosura tecnologica
La normativa introduce un interessante e complesso bilanciamento tra obblighi formali e giustificazioni informative. La formula “ove adottate” implica che la disclosura non costituisca in sé un obbligo assoluto, ma un adempimento obbligatorio solo se la politica in oggetto esiste già all’interno dell’organizzazione. Tuttavia, in assenza della descrizione formale, la mancanza di disclosure potrebbe essere interpretata negativamente da analisti, investitori o organismi di vigilanza.
La scelta di un approccio “compel o explain” segnala una tensione regolatoria: il legislatore sembra voler spingere le società a dotarsi di meccanismi di controllo formale, anche laddove non siano obbligatori per legge, per raggiungere il livello qualitativo richiesto al mercato da nuovi standard di cybersecurity e di compliance digitale.
La responsabilità della redazione della relazione sulla governance non deve essere separata né da quella tecnico-commerciale né da quella di compliance legale. La funzione contabile e di reporting sarà quindi fortemente legata agli organi di governo, che dovranno fornire una base documentale che permetta la verifica da parte delle società di revisione.
Implicazioni per la multi-layer compliance
In un contesto di applicazione parallela di diverse norme europee (AI Act, NIS 2, DORA), le società quotate si trovano in una situazione di multi-layer compliance. Il rischio principale, in questo caso, è che la dichiarazione formale (disclosure) presentata agli investitori diverga da pratiche organizzative reali.
Le aziende che sono simultaneamente soggette al TUF e ad altre normative europee dovranno coordinare le loro politiche formali con obiettivi di conformità specifici e obblighi normativi diversificati. La coerenza tra dichiarazioni pubbliche e prassi interne dipenderà da una gestione precisa del rapporto tra governance formale e compliance effettiva.