Responsabilità degli amministratori societari: il dovere di controllo nei confronti dei cybersecurity risks

Interessante pronuncia della corte del Delaware sull’oggetto (esito infausto per gli attori): COURT OF CHANCERY OF THE STATE OF DELAWARE  , C.A. No. 2021-0940-SG , del 6 settembre 2022, CONSTRUCTION INDUSTRY LABORERS PENSION FUND ed altri c. Bingle ed altri (v.la nel sito delle corti Delaware).

La negligenza addebitata era di non aver prevenuto attacchi da hacker russi, nonostante alcune red flags di deficenza del sistema. L’azienda forniva supporto informatico a clienti importanti e tramite questa sua omissione permise la diffuse di virus nei loro server.

Conclusione del giudice Glasscock, p. 35/6: <<To recapitulate, a subpar reporting system between a Board subcommittee and the fuller Board is not equivalent to an “utter failure to attempt to assure” that a reporting system exists.138 The short time period here between the IPO and the trauma suffered, together with the fact that the Board apparently did not request a report on cybersecurity in that period, is not sufficient for me to infer an intentional “sustained or systematic failure” of oversight,139 particularly given directors are presumed to act in good faith.140 And again, the Complaint is silent as to what the Committees should in good faith have reported, and how it could have mitigated corporate trauma. Carelessness absent scienter is not bad faith. In sum, the Complaint has not pled sufficient particularized facts to support a reasonable inference of scienter and therefore actions taken in bad faith by the Board. Without a satisfactorily particularized pleading allowing reasonably conceivable inference of scienter, a bad faith claim cannot survive a motion to dismiss. Because the Caremark claim is not viable, there is no substantial likelihood of liability attaching to a majority of the directors on the demand Board. Therefore, demand on the Board would not have been futile>>.

Va richiamato anche un precedente 2021 sempre del Delaware e sempre in tema di responsabilità per cybersecurity risks: Firemen’s Retirement System of St. Louis v. Arne M. Sorenson, et al. (Marriott International, Inc.) del 05 ottobre 2021,  C.A. No. 2019-0965-LWW .

E a questo punto pure uno del 2020 seppur non da cyber risks mna pur sempre sul dovere di oversight degli amminisratori: Richardson v. Clark ad altri 31.12.2020, C.A. No. 2019-1015-SG ,

Diffamazione a carico di ente commerciale: nella lite risarcitoria ENI c. Travaglio è arrivata la sentenza che rigetta la domanda di ENI

Con sentenza 14.12.2022 n° 18412/2022, RG 65990/2020, rel. Bile Corrado, il Tribunale di Roma rigetta la domanda risarcitoria di ENI vs. Il Fatto Quotidiano e il direttore Travaglio.

Il fatto dedotto consisteva in una lunga serie di articoli assai critici verso l’operato di ENI spt. in Africa, asseritamente diffamanti .

IL Trib. li esamina partitamente ma non ravvisa lesione della reputazione rilevante sotto il profilo aquiliano (art. 2043 cc).

Distingue il diritto di cronca dal diritto di critica, approfondendo il secondo.

Si appoggia alla “vecchia” Cass. 5259 del 1984 e al suo noto c.d decalogo del giornalista.

Ricorda che è ammessa una certa dose di esagerazine e provocazione, come ammesso anche da Corte EDU del 2016, ric. 49132/11..

Nel caso specifico <<dalla lettura emerge che la struttura argomentativa è sempre la stessa. Vengono presentate le vicende avvertendo il lettore che si tratta di questioni ancora oggetto di indagine e sulle quali, allo stato, non si è accertata alcuna responsabilità penale e, al contempo, si esprime un’opinione critica sull’opportunità di una scelta politica>>,.

Rigetta la domanda di sanzione per abuso del processo ex art. 96.3 cpc per assenza di malafede e colpa grave.

Spese di lite assestate ad euro 7.600+15% per spese generali.-

In una delle sue conclusioni ENI chiedeva la condanna di controparte a restituire <<l’ingiusto profitto ottenuto in consguenza dell’illecito>>. Domanda curiosa, perchè la norma esplicita è presente solo nel c.p.i. (ambigua invece nella l. aut.) ,ma non nel c.c.  Qui andrebbe ricostruita con complesso lavoro ermeneutico, a partire dalla pionieristica monografia di  Sacco del 1959 (v. ora l’ampio lavoro di Gatti S., Il problema dell’illecito lucrativo tra norme di settore e diritto privato generale, ESI, 2021)

Nessun cenno al concetto di diffamazione quando applicato ad un ente, per di più commerciale: l’art. 595 cp infatti difficilmente è applicabile a soggetti collettivi.