La criminalità informatica come rischio aziendale: cosa devono sapere gli imprenditori oggi

Dai risultati della ricerca del Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann, avvocato e ricercatore

La trasformazione digitale ha cambiato radicalmente l’economia – e con essa il profilo di rischio di ogni azienda. Gli attacchi ransomware paralizzano gli ospedali, i deepfake spingono gli uffici finanziari a effettuare trasferimenti multimilionari e gli attacchi informatici possono portare intere aziende al fallimento. Quello che sembra uno scenario futuro distopico è ormai da tempo un'amara realtà per gli imprenditori.

Il dottor Fabian Teichmann, avvocato ed esperto di informatica forense con sede in Svizzera, ha svolto negli ultimi anni un'intensa attività di ricerca: più di cento articoli scientifici, diverse monografie e numerosi contributi in importanti riviste specializzate tracciano un quadro preciso ed basato su evidenze della situazione di minaccia – e forniscono agli imprenditori risposte concrete su cosa fare a livello legale, organizzativo e tecnico. Questo articolo riassume i risultati principali di questo corpus di ricerca.

1. La nuova qualità della minaccia: il ransomware come rischio aziendale

Oggi il ransomware non è più un problema tecnico marginale, bensì un modello di business organizzato delle reti criminali. Teichmann descrive questo sviluppo con precisione in diversi contributi: gruppi di criminali informatici altamente professionali lavorano con una divisione del lavoro e un'organizzazione industriale. I cosiddetti Initial Access Brokers ottengono innanzitutto l'accesso alle reti, vendono questo accesso nel Darknet e solo allora un operatore ransomware crittografa i dati. Si tratta sempre più spesso di Double Extortion (doppia estorsione): gli autori esfiltrano i dati riservati prima della crittografia e minacciano inoltre di pubblicarli (Teichmann, Ransomware-Erpressung: Umgang, Rechtsfragen und Cyberversicherung, ZBJV 2025, pagg. 553–578).

Particolarmente preoccupante: nessuna azienda è "troppo piccola" o settorialmente "poco interessante" per gli estorsori di ransomware. La scelta delle vittime è spesso opportunistica: gli aggressori effettuano scansioni ad ampio spettro alla ricerca di sistemi vulnerabili. Gli autori professionali calcolano l'entità del riscatto in modo che sia appena al di sotto dei costi previsti per il ripristino dei dati, il che aumenta l'incentivo a pagare (Teichmann, ZBJV 2025, pagg. 553–578).

L'entità del danno è enorme. Teichmann documenta l'attacco a Change Healthcare del 2024, in cui sono stati sottratti 6 terabyte di dati sensibili dei pazienti e gli effetti hanno interessato circa 100 milioni di persone (Teichmann, Ransomware-Bedrohung im Gesundheitswesen, Compliance Berater 2025, pagg. 227–233). In Europa, un attacco a un fornitore di servizi diagnostici di Londra nel 2023 ha dimostrato che è stato necessario annullare migliaia di interventi chirurgici e deviare i pazienti d'emergenza – una prova lampante del fatto che gli attacchi ransomware possono mettere direttamente in pericolo la vita delle persone (Teichmann, Compliance Berater 2025, pagg. 227–233).

Anche le medie imprese sono ormai colpite da tempo. Teichmann analizza il caso Fasana (2025), in cui un attacco informatico ha portato direttamente al fallimento di un'azienda, come un campanello d'allarme esemplare per le medie imprese (Teichmann, Cyberangriff als Insolvenzauslöser: Der Fall Fasana als Weckruf, ZRI 2026, pagg. 6–13; id., Vom Cyberangriff in die Insolvenz – Der Fall Fasana (2025) und Lehren für den Mittelstand, InTeR 2025, pagg. 167–171).

2. Quando l'intelligenza artificiale diventa un'arma: deepfake e CEO Fraud

Oltre al ransomware, la ricerca di Teichmann identifica una seconda dimensione di minaccia ancora più preoccupante: l'uso dell'intelligenza artificiale generativa per truffe.

All'inizio del 2024, un'impiegata del settore finanziario a Hong Kong ha trasferito 25 milioni di dollari a dei truffatori dopo essere stata istruita in una videoconferenza da presunti superiori. Quello che non sospettava: né il CFO né i colleghi erano realmente collegati – i criminali avevano simulato il loro aspetto e la loro voce tramite deepfake (Teichmann, KI-gestützte Betrugsmaschen – Deepfakes als neue Herausforderung für Fraud Detection, Jusletter, 30 giugno 2025).

Questi incidenti non sono casi isolati. Teichmann fa riferimento a previsioni secondo cui le perdite per frode dovute all'IA generativa solo negli Stati Uniti potrebbero crescere da 12,3 miliardi a 40 miliardi di dollari entro il 2027 – un tasso di incremento annuale superiore al 30 percento. I casi di deepfake nel settore fintech sono aumentati del 700 percento nel 2023 (Teichmann, Jusletter, 30 giugno 2025).

L'aspetto insidioso: i deepfake non devono essere perfetti per ingannare efficacemente. Psicologicamente, la tendenza umana a fidarsi di ciò che vede o sente funge da amplificatore. Anche in presenza di sottili incongruenze, il contesto e la naturale propensione alla fiducia possono coprire i dubbi residui (Teichmann, Jusletter, 30 giugno 2025). Questo ha conseguenze pratiche dirette: il solito principio del "richiamare il superiore in caso di dubbio" si rivela inefficace se anche l'identificazione telefonica tramite clonazione vocale è superabile.

In un altro contributo sperimentale, Teichmann esamina direttamente anche l'uso dell'IA generativa nel contesto della CEO Fraud (Teichmann, CEO Fraud im Kontext (generativer) künstlicher Intelligenz – Eine experimentelle Untersuchung, ZWH 2024, pagg. 1–8). Il risultato: i classici meccanismi di controllo come il principio del doppio controllo falliscono quando l'autenticità visiva e acustica della persona che inganna viene simulata alla perfezione.

3. La dimensione legale: la responsabilità legale dei dirigenti d'azienda oggi

Un tema centrale nella ricerca di Teichmann è la responsabilità personale dei dirigenti d'azienda in caso di incidenti informatici. Questo non è un problema accademico, bensì ha una rilevanza pratica immediata per ogni amministratore delegato e membro del consiglio di amministrazione.

La Direttiva NIS 2 e le sue conseguenze per la direzione aziendale

La direttiva UE NIS 2 (UE 2022/2555), recepita in Germania tramite la legge di recepimento NIS-2 (NIS2UmsuCG), richiede alla direzione aziendale non solo di garantire adeguate misure tecniche, ma anche di partecipare attivamente ai corsi di formazione. Teichmann analizza dettagliatamente questo dovere in diversi contributi: i vertici aziendali devono conoscere e gestire attivamente i rischi di cybersicurezza – l'ignoranza non esime dalla responsabilità (Teichmann, NIS2-Schulungspflicht der Geschäftsleitung, Computer und Recht 2025, pagg. 718–725; id., Strafbare Non-Compliance: Persönliche Haftung von Geschäftsleitern und Organen bei Verstößen gegen die NIS2-Richtlinie, CyberStR 2026, pagg. 65–73).

Particolarmente di vasta portata: per i soggetti essenziali, le violazioni degli obblighi NIS 2 possono essere punite con sanzioni pecuniarie fino a 10 milioni di euro o al 2% del fatturato annuo globale. Alcune leggi di recepimento nazionali consentono inoltre di sospendere temporaneamente la direzione aziendale dalle sue funzioni (Teichmann, Auswirkungen der EU-NIS-2-Richtlinie auf Unternehmen, ZWH 2026, pagg. 6–11).

Crisi cibernetica e insolvenza: un legame sottovalutato

Teichmann svela un legame di rischio che nella pratica riceve ancora scarsa attenzione: il collegamento tra attacco informatico e obbligo di dichiarazione di insolvenza. Se un attacco ransomware causa o minaccia l'insolvenza di un'azienda, scattano gli obblighi legati al diritto fallimentare della sezione 15a InsO. Gli amministratori incapaci di agire o esitanti rischiano non solo la responsabilità civile, ma anche conseguenze penali (Teichmann, Cyberbedingte Insolvenzreife und § 15a InsO: Zur straf- und haftungsrechtlichen Verantwortlichkeit der Geschäftsführung, ZInsO 2025, pagg. 2193–2207; id., Cyberkrise und Insolvenzverschleppung – Strafrechtliche Risiken bei verspäteter Reaktion auf Ransomware-Angriffe, ZRI 2025, pagg. 877–884).

L'approccio preventivo del regime NIS 2 si rivolge proprio a questo punto: obbliga le aziende a identificare e gestire i rischi informatici prima che diventino una minaccia per la sopravvivenza aziendale (Teichmann, Cyberrisiken und Insolvenzgefahr: Präventive Schutzpflichten des NIS2-Regimes, InsA 2026, pagg. 3–10).

Responsabilità D&O: quando la criminalità informatica colpisce personalmente i membri del consiglio di amministrazione

Teichmann analizza l'aumento della responsabilità D&O (Directors & Officers) come conseguenza interdisciplinare della criminalità informatica, della regolamentazione e dell'IA. I membri del consiglio di amministrazione e gli amministratori delegati che trascurano gli obblighi elementari di sicurezza informatica rispondono sempre più a livello personale – sia nei confronti dell'azienda che di terzi (Teichmann, Steigende D&O-Haftungsrisiken durch Cyberkriminalität, Regulierung und KI, Compliance Berater 2026, pagg. 117–122).

4. Il Cyber Resilience Act: la sicurezza informatica diventa un obbligo per il prodotto

Uno degli sviluppi più significativi nel diritto europeo è il Cyber Resilience Act (CRA), adottato nell'ottobre 2024 e vincolante per i nuovi prodotti a partire dall'11 dicembre 2027. Teichmann ha analizzato questo atto legislativo in modo esaustivo.

Il CRA segna un cambio di paradigma: la sicurezza informatica viene elevata a caratteristica vincolante del prodotto, in modo simile alla sicurezza elettrica (Teichmann, Cybersicherheit als Produkteigenschaft – Der Cyber Resilience Act der Europäischen Union, NJW 2025, pagg. 2577–2582). Cosa significa questo per le aziende?

I produttori di prodotti connessi – che si tratti di dispositivi smart home, sistemi di controllo industriale o software – dovranno in futuro:

• Minimizzare le falle di sicurezza al momento del lancio sul mercato (nessuna vulnerabilità nota non patchata alla consegna)

• Implementare impostazioni predefinite sicure (nessuna password predefinita)

• Fornire aggiornamenti di sicurezza per almeno cinque anni

• Creare una Software Bill of Materials (SBOM) – un elenco di tutti i componenti software utilizzati

• Segnalare gli incidenti di sicurezza entro 24 ore

(Teichmann, NJW 2025, pagg. 2577–2582; id., Der EU Cyber Resilience Act – Anforderungen aus strafrechtlicher, Compliance-, produktsicherheitsrechtlicher und Governance-Perspektive, RIW 2025, pagg. 777–785)

Anche le aziende che utilizzano prodotti connessi devono comprenderne le implicazioni. L'obbligo di due diligence nella catena di fornitura significa che chi integra componenti di terze parti non sicuri ne condivide la responsabilità. Teichmann sottolinea che anche i componenti apparentemente semplici non devono essere trascurati, poiché gli aggressori spesso sfruttano catene di vulnerabilità ed entrano in grandi sistemi attraverso piccoli punti d'accesso (Teichmann, The EU Cyber Resilience Act: Hybrid governance, compliance, and cybersecurity regulation in the digital ecosystem, Computer Law & Security Review 2025, pag. 106209).

5. Infrastrutture critiche: quando l'attacco informatico diventa un pericolo pubblico

La ricerca di Teichmann si dedica intensamente alla particolare esigenza di protezione delle infrastrutture critiche – ospedali, fornitori di energia, comuni, istituti finanziari – e alle conseguenze legali per i loro operatori.

Settore sanitario

Gli attacchi ransomware agli ospedali non sono solo economicamente devastanti, ma possono essere immediatamente letali. Nel 2020, l'Ospedale Universitario di Düsseldorf ha dovuto sospendere temporaneamente le cure d'emergenza a seguito di un attacco ransomware; la procura ha valutato l'apertura di un procedimento per omicidio colposo (Teichmann, Ransomware-Angriffe auf Krankenhäuser – Strafrechtliche, Medizinrechtliche und Datenschutzrechtliche Herausforderungen, Zeitschrift für Lebensrecht 2025, pagg. 349–366).

Teichmann analizza anche gli obblighi penali in materia di sicurezza IT negli ospedali ai sensi della legge sulla sicurezza informatica 2.0, della legge quadro KRITIS e della sezione 391 SGB V (Teichmann, IT-Sicherheit im Krankenhaus – Neue Pflichten durch IT-SiG 2.0, KRITIS-Dachgesetz und § 391 SGB V, MedR 2025, pagg. 959–968). Il messaggio centrale: la sicurezza informatica è di competenza dei dirigenti – le direzioni ospedaliere non possono nascondersi dietro la complessità tecnica.

Energia e comuni

Anche gli impianti di energia rinnovabile sono sempre più un bersaglio di attacchi. Teichmann esamina gli specifici rischi informatici per i parchi eolici, gli impianti solari e altre infrastrutture e sviluppa opzioni di regolamentazione (Teichmann, Cyberangriffe auf Erneuerbare-Energien-Anlagen – Risikoanalyse und Regulierungsoptionen, REE 2025, pagg. 143–150). Per le aziende municipalizzate e i fornitori locali di energia, analizza gli effetti della direttiva NIS 2, anche per le piccole e medie imprese, molte delle quali non hanno ancora implementato misure di protezione sufficienti (Teichmann, NIS-2 und die Anwendung auf kleine und mittlere Stadtwerke, EnWZ 2025, pagg. 400–407).

Le amministrazioni comunali devono affrontare sfide particolari: panorami IT eterogenei, sistemi obsoleti, carenza cronica di personale qualificato. Teichmann dimostra che i rischi informatici vengono spesso percepiti come singoli problemi isolati, sebbene le carenze strutturali di governance rappresentino la vera vulnerabilità (Teichmann, Cyberangriffe auf kommunale IT-Infrastrukturen, CyberStR 2025, pagg. 23–32; id., Cybersicherheit in Kommunen – Regelungsdefizite und Reformbedarf, ZRP 2025, pagg. 184–187).

Settore finanziario

Nel settore finanziario, Teichmann analizza il Digital Operational Resilience Act (DORA), che da gennaio 2025 stabilisce regole di sicurezza informatica uniformi in tutta l'UE per gli istituti finanziari. Il DORA va oltre i classici requisiti di cybersicurezza: richiede la gestione dei rischi TIC, test di resilienza, il controllo di terze parti e una chiara responsabilità di governance fino al livello del consiglio di amministrazione (Teichmann, Digital Operational Resilience Act (DORA) – EU-weit einheitliche IT-Sicherheitsregeln für Finanzinstitute, BB 2025, pagg. 2760–2770; id., DORA – Teil 3: Governance-Verantwortung und Compliance-Risiken, ZRFC 2025, pagg. 279–283).

6. Riciclaggio di denaro, criptovalute e finanziamento del terrorismo: il campo classico della ricerca

Oltre all'ambito della sicurezza informatica, la lotta al riciclaggio di denaro è il secondo grande campo di ricerca di Teichmann. La sua monografia Methoden der Geldwäscherei (Schulthess, Zurigo, 3ª ed. 2022) è considerata un'opera di riferimento. Per gli imprenditori, le sue scoperte sono rilevanti sotto diversi aspetti.

Il settore immobiliare come rischio di riciclaggio di denaro

Il settore immobiliare è un canale privilegiato per il riciclaggio di denaro. Teichmann analizza i metodi concreti utilizzati dagli autori ed identifica le tipiche situazioni di rischio per Germania, Austria, Liechtenstein e Svizzera (Teichmann, Financial Crimes in the Real Estate Sector in Austria, Germany, Liechtenstein and Switzerland, Journal of Money Laundering Control 2020; id., Geldwäsche in der Immobilienbranche am Beispiel Schweiz, Swiss Real Estate Journal 2020, pagg. 17–24). Il nuovo disegno di legge svizzero volto a rafforzare la lotta contro il riciclaggio di denaro inasprisce notevolmente gli obblighi di diligenza per le transazioni immobiliari (Teichmann, Der schweizerische Gesetzesentwurf zur Stärkung der Geldwäschereibekämpfung – eine kritische Würdigung, NZWiSt 2024, pagg. 7–11).

Criptoattività e nuove sfide

Con l'ascesa delle criptovalute si sono aperte nuove vie per il riciclaggio di denaro. Teichmann esamina il modo in cui i criminali informatici riciclano i proventi dei loro reati (Teichmann, How Do Cybercriminals Launder the Proceeds of Their Crimes?, International Cybersecurity Law Review 2024, pagg. 67–77; id., Kryptowerte und digitale Vermögensgegenstände im Einziehungs- und Sicherungsverfahren, wistra 2025, pagg. 493–501).

Particolarmente rilevante per le aziende: anche la questione se il pagamento di un riscatto a estorsori di ransomware sia legalmente ammissibile dipende dal fatto che i destinatari figurino o meno nelle liste di sanzioni. L'Office of Foreign Assets Control (OFAC) degli Stati Uniti ha chiarito che i pagamenti di riscatti a gruppi di hacker sanzionati possono essere puniti con sanzioni civili – anche se l'azienda pagante non sapeva di servire una parte sanzionata (Teichmann, ZBJV 2025, pagg. 553–578). Per le aziende con attività internazionali, questa è una trappola di conformità significativa.

Rischi di riciclaggio di denaro per gli avvocati

Teichmann rivolge lo sguardo anche alla propria categoria professionale: gli avvocati sono esposti a rischi significativi nel contesto delle sanzioni internazionali e della prevenzione del riciclaggio. Clienti provenienti da regioni sanzionate, pagamenti tramite canali non trasparenti o il semplice coinvolgimento in transazioni sospette possono comportare conseguenze penali (Teichmann, Geldwäscherisiken für Rechtsanwälte im Kontext internationaler Sanktionen, NZWiSt 2023, pagg. 441–448).

7. Whistleblowing, conformità e cultura aziendale

La ricerca di Teichmann sulla conformità e sul whistleblowing offre agli imprenditori un orientamento importante per definire le proprie strutture interne.

La legge tedesca sulla protezione dei segnalatori (HinSchG), entrata in vigore nel 2023, pone alle aziende nuove sfide organizzative e legali. Teichmann analizza non solo gli obblighi di protezione per i segnalatori, ma anche il potenziale di abuso: l'IA generativa potrebbe essere utilizzata per produrre segnalazioni fittizie su larga scala e sovraccaricare i sistemi di conformità (Teichmann, Das Hinweisgeberschutzgesetz im Kontext generativer künstlicher Intelligenz, NZWiSt 2023, pagg. 289–296).

Significativa è anche la sua analisi dell'inversione dell'onere della prova prevista dalla sezione 36 HinSchG: nei procedimenti di tutela contro il licenziamento, spetta al datore di lavoro dimostrare che il licenziamento non era correlato a una segnalazione. Ciò ha notevoli conseguenze pratiche per le decisioni sul personale successive a segnalazioni interne (Teichmann, Beweislastumkehr des § 36 HinSchG im Kündigungsschutzverfahren und ihr Konflikt mit Verschwiegenheitspflichten, ZIP 2025, pagg. 2477–2482).

Sul tema degli incentivi alla conformità – come possono le aziende promuovere culture interne di conformità? – Teichmann ha presentato una ricerca approfondita che dimostra come gli incentivi finanziari da soli non siano sufficienti: la realtà sociale e psicologica del contesto aziendale influenza in modo decisivo la percezione delle regole di conformità (Teichmann & Wittmann, Psychology and White Collar Crime – Compliance Recommendations Based on the Social and Psychological Reality Dictating Perception, Journal of Financial Crime 2024, pagg. 408–415).

8. Raccomandazioni d'azione concrete per gli imprenditori

Dall'insieme dei lavori di ricerca di Teichmann si possono trarre le seguenti conclusioni di rilevanza pratica per gli imprenditori:

Necessità immediata di azione

Rendere la sicurezza informatica una priorità dei vertici. La direttiva NIS 2 richiede che la direzione aziendale sia attivamente coinvolta nelle questioni di sicurezza informatica – compresa la formazione personale. Questa non è una raccomandazione, ma un obbligo legale con conseguenze in termini di responsabilità (Teichmann, Cybersicherheit als Führungsaufgabe: Die BSI-Handreichung zur NIS-2-Schulungspflicht, BB 2026, pagg. 74–77).

Implementare piani di risposta agli incidenti. Un attacco ransomware non è una questione di "se", ma di "quando". Le aziende che non dispongono di piani di emergenza si troveranno, in caso di necessità, costrette a prendere decisioni improvvisate sotto la massima pressione – con i relativi rischi di responsabilità (Teichmann & Boticiu, The Importance of Cybersecurity Incident Response Plans for Law Firms, Jusletter, 3 aprile 2023).

Conoscere e rispettare gli obblighi di segnalazione. Ai sensi della direttiva NIS 2, si applica un obbligo di segnalazione entro 24 ore all'autorità competente in caso di incidenti informatici significativi. Chi segnala in ritardo rischia sanzioni pesanti (Teichmann, Die neue 24-Stunden-Meldepflicht für Cyberangriffe nach ISG, Jusletter, 29 settembre 2025).

Misure a medio termine

Verificare la sicurezza della catena di fornitura. Gli attacchi informatici avvengono sempre più spesso tramite fornitori terzi e partner commerciali. Le aziende rispondono non solo per le proprie carenze di sicurezza IT, ma anche per le vulnerabilità nei componenti esterni integrati (Teichmann, IT-Sicherheit in der Lieferkette, Der Betriebswirt 2024, pagg. 251–265).

Stabilire una prevenzione contro i deepfake. Le metodologie di autenticazione classiche non sono più sufficienti. Le aziende necessitano di misure tecniche e organizzative efficaci anche di fronte a scenari deepfake convincenti – come parole d'ordine stabilite per richieste di trasferimento insolite o il principio del doppio controllo con richiamo indipendente su numeri noti (Teichmann, Deepfake-Imitation und Betrug durch KI-generierte Medien, Kriminalistik 2026, pagg. 194–200).

Esaminare criticamente l'assicurazione informatica. Un'assicurazione contro i rischi informatici può essere utile, ma solo se le condizioni di copertura si adattano ai rischi reali e, in particolare, se le violazioni sanzionatorie non comportano la negazione del risarcimento (Teichmann, ZBJV 2025, pagg. 553–578).

Prospettiva strategica

Anticipare gli sviluppi normativi. Il Cyber Resilience Act entrerà in vigore nel 2027 – chi inizia ora a implementare i requisiti eviterà conflitti di risorse all'ultimo minuto (Teichmann, The cyber resilience act as a new paradigm for product security: a compliance roadmap, International Cybersecurity Law Review 2025, pagg. 1–17).

Intendere la conformità come un vantaggio competitivo. Le aziende che dimostrano di rispettare elevati standard di sicurezza informatica godono di vantaggi nell'acquisizione di clienti, nel settore assicurativo e negli appalti pubblici. La conformità non è una mera questione di costi, ma una risorsa strategica (Teichmann & Wittmann, Compliance Cultures and the Role of Financial Incentives, Journal of Financial Crime 2024, pagg. 226–232).

Conclusione: la sicurezza informatica è responsabilità della direzione – scientificamente provato

I lavori di ricerca del Dr. Fabian Teichmann delineano un quadro coerente: la minaccia rappresentata dalla criminalità informatica non è un pericolo astratto che riguarda altri, ma un rischio concreto e in crescita per ogni azienda. Al contempo, il legislatore ha reagito – con la direttiva NIS 2, il DORA, il Cyber Resilience Act e le leggi di recepimento nazionali che chiamano i dirigenti d'azienda alla responsabilità personale.

Ciò che rende la ricerca di Teichmann particolarmente preziosa è che unisce l'analisi giuridico-tecnica con la realtà empirica di casi di attacco reali. Deepfake da 25 milioni di dollari, insolvenze causate da ransomware, ospedali senza pronto soccorso – questi non sono scenari del futuro, ma un presente documentato.

Per gli imprenditori questo significa: chi conosce gli obblighi normativi, comprende la situazione delle minacce e agisce in via preventiva non solo può minimizzare i rischi di responsabilità, ma può trasformare la sicurezza informatica in un vero vantaggio competitivo. Le basi scientifiche per farlo ci sono.

Tutti i riferimenti alle fonti in questo articolo si riferiscono a contributi scientifici pubblicati dal Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann. La bibliografia completa è documentata nell'elenco delle pubblicazioni (aggiornato a maggio 2026).