Regime di responsabilità del DPO e frode informatica: la sentenza del tribunale di Firenze

Una nuova sentenza italiana sul regime di responsabilità del Responsabile della Protezione dei Dati (DPO) ai sensi del GDPR, nel contesto di una frode informatica, conferma che il DPO non è responsabile delle violazioni della sicurezza informatica causate dalla mancata attuazione, da parte del cliente, delle raccomandazioni formalmente documentate.

Il Tribunale di Firenze, con la sentenza n. 3034 del 29 maggio 2026, ha emesso una decisione di particolare rilievo che chiarisce i limiti della responsabilità del DPO nel contesto di un attacco di tipo Business Email Compromise (BEC) del valore di 390.000 euro.

La decisione rappresenta una delle prime pronunce italiane ad affrontare direttamente il tema della responsabilità del DPO e a stabilire se il Responsabile della Protezione dei Dati possa essere chiamato a rispondere di una violazione della sicurezza informatica subita dall’azienda che lo ha nominato. Si tratta di una sentenza di fondamentale importanza per tutte le organizzazioni che intendono comprendere il ruolo del DPO all’intersezione tra conformità al GDPR e gestione degli incidenti di cybersecurity.

I fatti: un attacco BEC e la ricerca di un responsabile

Il caso riguardava una società operante nel settore delle utilities, specializzata nella fornitura di servizi e tecnologie per la gestione dei consumi di acqua, gas, energia e calore, che aveva nominato una società esterna quale proprio DPO.

Il 5 marzo 2024 la società è stata vittima di un sofisticato attacco BEC: i criminali informatici hanno intercettato le comunicazioni e-mail tra l’azienda e uno dei suoi fornitori, si sono spacciati per il personale del fornitore e hanno richiesto la modifica dell’IBAN per alcuni pagamenti in sospeso. Ingannata dalle comunicazioni fraudolente, l’azienda ha effettuato bonifici per un totale di 390.000 euro verso conti controllati dagli attaccanti.

A seguito dell’incidente, la società ha contestato un decreto ingiuntivo ottenuto dal DPO per il pagamento di compensi professionali non corrisposti. Secondo la società, il DPO non avrebbe adempiuto correttamente ai propri obblighi poiché non avrebbe implementato misure essenziali di sicurezza informatica, favorendo così la realizzazione della frode.

L’azienda ha inoltre avanzato una domanda riconvenzionale per il risarcimento di 390.000 euro, sostenendo che il comportamento negligente del DPO fosse direttamente collegato al danno subito. È stato infine contestato un presunto conflitto di interessi tra la società che svolgeva il ruolo di DPO e una società di consulenza informatica, a causa di una parziale sovrapposizione dell’assetto proprietario.

L’analisi del Tribunale: il regime di responsabilità del DPO nel GDPR

Per definire il regime di responsabilità applicabile, il Tribunale di Firenze ha innanzitutto delineato il ruolo del DPO sulla base degli articoli 37, 38 e 39 del GDPR, letti congiuntamente ai considerando pertinenti e alle Linee Guida del Gruppo di Lavoro Articolo 29 sui DPO (WP29).

Questo approccio sistematico è particolarmente significativo perché offre un’interpretazione giurisprudenziale ben motivata dei limiti delle responsabilità attribuibili al DPO.

La natura consultiva del ruolo del DPO

Il Tribunale ha evidenziato che, ai sensi dell’articolo 39, paragrafo 1, lettere a) e b), del GDPR, i compiti principali del DPO consistono nel:

• informare e consigliare il titolare o il responsabile del trattamento e i dipendenti che effettuano trattamenti sui loro obblighi normativi;
• sorvegliare l’osservanza del GDPR e delle altre disposizioni in materia di protezione dei dati.

La competenza del DPO deve essere proporzionata alla sensibilità e alla riservatezza dei dati trattati dall’organizzazione, come previsto dal Considerando 97 e dall’articolo 37, paragrafo 5, del GDPR.

Elemento decisivo della sentenza è l’affermazione secondo cui il DPO non assume mai funzioni esecutive. Ai sensi dell’articolo 24, paragrafo 1, del GDPR, è infatti il titolare del trattamento — e non il DPO — a dover adottare misure tecniche e organizzative adeguate per garantire e dimostrare la conformità del trattamento al Regolamento.

Di conseguenza, in caso di inosservanza degli obblighi previsti dal GDPR, la responsabilità ricade esclusivamente sul titolare del trattamento e, ove applicabile, sul responsabile del trattamento.

Secondo il Tribunale, il DPO è una figura chiamata a verificare le attività di trattamento svolte dal titolare, a formulare valutazioni di conformità o non conformità e a fornire informazioni, consulenza e orientamento.

Le prove dell’adempimento diligente del DPO

Una volta definito il quadro giuridico, il Tribunale ha verificato se la società incaricata come DPO avesse adempiuto diligentemente ai propri obblighi contrattuali.

Le prove documentali hanno dimostrato che il DPO aveva svolto accuratamente le attività previste, tra cui:

• segnalare già nel 2022 la necessità urgente di migliorare la sicurezza informatica, raccomandando l’adozione dell’autenticazione a due fattori (2FA) per l’accesso VPN e la creazione di una rete server dedicata con regole di accesso definite;
• suggerire nel 2023 una formazione specifica del personale per riconoscere le e-mail fraudolente;
• redigere rapporti di audit che classificavano le misure di sicurezza informatica come “migliorabili” e i sistemi di autenticazione e autorizzazione come “non accettabili”;
• evidenziare, già in un rapporto di audit interno del 22 gennaio 2021, che dati personali venivano trasmessi via e-mail senza adeguate misure di sicurezza;
• mantenere un dialogo costante e diligente con il rappresentante legale della società e con il consulente informatico.

Il presunto conflitto di interessi

Il Tribunale ha respinto anche l’argomento relativo al conflitto di interessi.

La sentenza osserva che lo stesso GDPR (articolo 37, paragrafo 6, e Considerando 97) consente al DPO di essere dipendente del titolare del trattamento. Se un rapporto di lavoro subordinato non compromette necessariamente l’indipendenza del DPO, a maggior ragione una semplice sovrapposizione parziale nella proprietà di due entità giuridicamente distinte non è sufficiente a dimostrare un’incompatibilità.

Il Tribunale ha inoltre richiamato le Linee Guida WP29, secondo cui le situazioni di conflitto di interessi riguardano generalmente ruoli dirigenziali o posizioni che determinano finalità e mezzi del trattamento, circostanze assenti nel caso in esame.

L’elemento temporale

Un ulteriore aspetto determinante è stato il fatto che il rapporto professionale tra il DPO e la società si era concluso formalmente il 31 dicembre 2023, oltre due mesi prima dell’attacco BEC del 5 marzo 2024.

Pertanto, anche ipotizzando una violazione degli obblighi professionali, la frode non si è verificata durante il periodo di incarico del DPO.

La decisione

Il Tribunale ha respinto integralmente l’opposizione, confermato il decreto ingiuntivo originario e condannato la società al pagamento di ulteriori 14.558,85 euro per compensi professionali non versati, oltre a 22.457 euro di spese legali.

È stata invece respinta la richiesta del DPO di applicare le sanzioni per lite temeraria previste dall’articolo 96 del Codice di Procedura Civile, poiché la complessità del quadro normativo giustificava la scelta della società di intraprendere l’azione giudiziaria.

Principali insegnamenti per organizzazioni e DPO

La sentenza offre alcune importanti indicazioni pratiche:

1. Il DPO svolge un ruolo consultivo e non esecutivo. La responsabilità per l’implementazione delle misure di sicurezza resta in capo al titolare del trattamento.
2. La documentazione rappresenta la migliore difesa del DPO. Rapporti di audit, e-mail e comunicazioni formali sono stati decisivi per dimostrare la correttezza dell’operato del professionista.
3. Ignorare le raccomandazioni del DPO può generare responsabilità per l’organizzazione. La mancata attuazione delle misure suggerite può essere utilizzata contro l’azienda in successivi procedimenti.
4. Le accuse di conflitto di interessi richiedono elementi concreti. Una semplice sovrapposizione societaria non è sufficiente a dimostrare l’esistenza di un conflitto ai sensi del GDPR.
5. Le frodi BEC restano una minaccia rilevante. Le organizzazioni devono investire nella formazione del personale, nei protocolli di autenticazione delle e-mail (SPF, DKIM e DMARC) e nelle procedure di verifica dei pagamenti.

Conclusioni

Ancorando fermamente il regime di responsabilità del DPO alla funzione consultiva e di vigilanza prevista dagli articoli 37-39 del GDPR, il Tribunale di Firenze invia un messaggio chiaro: le organizzazioni non possono utilizzare il DPO come capro espiatorio per incidenti di cybersecurity derivanti dalla mancata adozione delle misure che il DPO stesso aveva raccomandato.

Allo stesso tempo, la sentenza evidenzia come i DPO che documentano accuratamente le proprie attività, segnalano tempestivamente le vulnerabilità e mantengono un approccio proattivo siano nella posizione migliore per difendersi da eventuali accuse di negligenza.

Per le organizzazioni, la lezione è altrettanto chiara: nominare un DPO non sostituisce gli investimenti in infrastrutture di sicurezza informatica e nella formazione del personale. Il principio di accountability sancito dall’articolo 5, paragrafo 2, del GDPR richiede molto di più.