Il panorama mondiale della conformità sta attraversando una fase di trasformazione strutturale nella quale gli approcci tradizionali alla protezione dei dati non risultano più sufficienti per gestire adeguatamente la complessità delle minacce digitali e delle interdipendenze tecnologiche. I quadri normativi si stanno spostando da una prospettiva esclusivamente incentrata sulla protezione dei dati verso modelli integrati di cyber-resilience, imponendo alle organizzazioni obblighi sempre più stringenti in materia di gestione del rischio, sicurezza tecnica, governance e trasparenza riguardo ai cyberincidenti. Questa evoluzione nasce dalla consapevolezza che la protezione dei dati rappresenta soltanto una componente di un ecosistema di rischi digitali molto più ampio, nel quale continuità operativa, resilienza e capacità di ripristino assumono un ruolo centrale. I legislatori e le autorità di vigilanza stanno intensificando l’attenzione sui rischi sistemici, sulle dipendenze all’interno delle catene di fornitura e sull’impatto potenzialmente destabilizzante degli attacchi informatici sulla stabilità economica e sulla sicurezza pubblica.
Parallelamente, cresce la pressione internazionale volta ad armonizzare i diversi quadri giuridici che disciplinano la cybersicurezza, la protezione dei dati, le infrastrutture critiche e i servizi digitali. Questa dinamica conduce a un ambiente normativo sempre più complesso, in cui le organizzazioni devono confrontarsi con obblighi multilivello che spaziano dalle segnalazioni accelerate degli incidenti alla due diligence rafforzata sui terzi, dall’implementazione di misure tecniche e organizzative obbligatorie alla maggiore responsabilità dei dirigenti in caso di misure di cybersicurezza inadeguate. L’interazione tra questi elementi esige un approccio strategico e multidisciplinare alla conformità, ponendo la cyber-resilience come componente essenziale della governance, della gestione del rischio e dei processi decisionali operativi.
Dalla protezione dei dati a strutture olistiche di cyber-resilience
La transizione da un approccio tradizionale alla protezione dei dati verso strutture ampie e olistiche di cyber-resilience rappresenta un cambiamento fondamentale nelle modalità con cui le organizzazioni sono chiamate a identificare, mitigare e documentare i rischi. Se la protezione dei dati si è storicamente concentrata sull’integrità e la riservatezza dei dati personali, i moderni quadri di resilienza mirano a proteggere l’intero ecosistema digitale, includendo la continuità operativa, la disponibilità dei sistemi e la capacità di ripristinare rapidamente le attività in seguito a un incidente. Questo approccio tiene conto della crescente interconnessione tra ambienti IT e OT, della dipendenza da servizi cloud e piattaforme digitali e della rapidità di diffusione delle minacce contemporanee. Ne deriva l’obbligo di ridefinire le strategie di sicurezza, considerando la resilienza non più come un elemento facoltativo, ma come un requisito legale imprescindibile.
Le normative internazionali sulla cyber-resilience impongono inoltre alle organizzazioni di dimostrare la capacità di analizzare e gestire sistematicamente i rischi digitali interni ed esterni. Tali obblighi comprendono la pianificazione di scenari, gli stress test e una documentazione approfondita dei processi di cybersicurezza. Le autorità di vigilanza si aspettano che la resilienza sia integrata in tutti i livelli di governance, dal vertice manageriale alle unità operative. L’accento è posto sulla dimostrabilità: la capacità di provare che decisioni, misure e investimenti siano conformi alla normativa vigente, alle best practice e agli standard internazionali. Ne risulta un passaggio da un approccio reattivo a un regime strutturale e proattivo di resilienza.
Le organizzazioni devono inoltre affrontare la cyber-resilience non solo come una questione tecnica, ma come un obbligo di governance più ampio. Ciò comprende la cultura aziendale, i meccanismi di controllo interno e la capacità di rispondere in modo rapido e coordinato agli incidenti. Le responsabilità oltrepassano i confini organizzativi: la resilienza deve essere dimostrabile lungo l’intera catena di fornitura, rendendo le organizzazioni responsabili dell’affidabilità dell’intero ecosistema digitale. Questo approccio olistico sottolinea che la resilienza è un processo continuo, che richiede valutazioni costanti, miglioramenti continui e una regolare revisione strategica.
Regimi obbligatori di notifica degli incidenti secondo NIS2, DORA e quadri settoriali
Gli obblighi di notifica degli incidenti stanno diventando più rigorosi e maggiormente strutturati a livello globale, in particolare nell’ambito di quadri normativi come NIS2, DORA e le regolamentazioni settoriali dedicate alle infrastrutture critiche e ai servizi essenziali. Questi regimi introducono requisiti di segnalazione nettamente più severi rispetto al passato, con scadenze accelerate che vanno dagli avvisi preliminari entro poche ore ai rapporti dettagliati entro pochi giorni. Le organizzazioni devono dunque predisporre sistemi robusti di rilevamento, monitoraggio e risposta, capaci di identificare e qualificare tempestivamente gli incidenti. Le autorità di vigilanza stanno adottando interpretazioni sempre più restrittive di ciò che costituisce un incidente notificabile, spingendo le organizzazioni a perfezionare i processi decisionali interni e i protocolli di escalation.
Tali quadri normativi impongono anche requisiti dettagliati relativi al contenuto, alla qualità e alla completezza delle segnalazioni. Le organizzazioni devono illustrare la natura dell’incidente, l’impatto sui servizi, i sistemi coinvolti, le misure di sicurezza adottate e le azioni intraprese per prevenire ulteriori danni. In molte giurisdizioni, la qualità delle segnalazioni influisce sulle attività di vigilanza, con possibili sanzioni in caso di comunicazioni insufficienti o incomplete. Diventa quindi essenziale supportare le notifiche con analisi tecniche e giuridiche solide, richiedendo una stretta collaborazione tra team legali, tecnici e operativi.
Le nuove obbligazioni comportano inoltre una maggiore responsabilizzazione delle organizzazioni nei rapporti con le autorità di controllo. La notifica degli incidenti non è più un adempimento isolato, ma un processo iterativo che spesso implica richieste supplementari di informazioni e verifiche. Le autorità dispongono di poteri ampliati per condurre indagini approfondite sugli incidenti e sulle pratiche di cybersicurezza sottostanti. Questo rafforza la necessità di adottare documentazione standardizzata, audit periodici e prove che attestino il rispetto di tutti gli obblighi di segnalazione.
Integrazione dei rischi cyber dei terzi nei programmi di conformità
La crescente dipendenza da terzi per funzioni tecnologiche e operative critiche ha determinato un rafforzamento significativo degli obblighi di gestione del rischio legati ai fornitori. I quadri normativi richiedono che le organizzazioni valutino non solo le proprie misure di sicurezza, ma anche quelle di fornitori, prestatori di servizi cloud, subappaltatori e altri partner lungo la supply chain digitale. Tali obblighi comprendono approfondite attività di due diligence, requisiti contrattuali in materia di sicurezza e monitoraggio continuo delle prestazioni dei fornitori. L’accento è posto sulla dimostrabilità del fatto che i rischi relativi ai terzi costituiscono un elemento integrato del quadro interno di gestione del rischio, con particolare attenzione alla sicurezza, alla continuità operativa e alla resilienza.
Le moderne esigenze di conformità impongono inoltre alle organizzazioni di identificare e mitigare i rischi sistemici all’interno delle catene di fornitura. Ciò significa valutare non solo i fornitori diretti, ma anche i subfornitori e le dipendenze critiche che potrebbero influire sui servizi o sulla protezione dei dati. Le organizzazioni devono disporre di meccanismi per ottenere informazioni in tempo reale sui rischi dei terzi, per gestire tempestivamente l’escalation degli incidenti e per coordinare le misure correttive necessarie. Le autorità si aspettano che tali processi siano saldamente integrati nella governance, includendo politiche, audit interni e report sui rischi che possano essere condivisi con i regolatori.
Le organizzazioni devono inoltre combinare due diligence giuridica e tecnica in un approccio integrato che tenga conto degli obblighi contrattuali, degli standard di sicurezza e delle normative internazionali. I contratti devono prevedere obblighi di sicurezza dettagliati, diritti di audit, requisiti di notifica degli incidenti e garanzie sulla protezione dei dati. La governance dei terzi sta diventando un pilastro essenziale della cyber-resilience, poiché le organizzazioni restano responsabili dei rischi del proprio ecosistema digitale nel suo complesso, indipendentemente dall’outsourcing o dalle modalità di fornitura dei servizi.
Standard tecnici e organizzativi minimi di sicurezza a livello globale
La globalizzazione della normativa in materia di cybersicurezza sta portando allo sviluppo di standard minimi armonizzati per le misure tecniche e organizzative di sicurezza. Tali standard comprendono requisiti relativi alla cifratura, alla gestione delle identità e degli accessi, alla gestione delle patch, alla segmentazione della rete, alla registrazione degli eventi, al monitoraggio e alla risposta agli incidenti. I regolatori si aspettano che le organizzazioni non solo soddisfino i requisiti nazionali, ma che adottino anche best practice internazionali quali ISO 27001, i quadri NIST e le linee guida settoriali. Ciò richiede l’adozione di un livello di sicurezza che sia al contempo conforme alla legge e allineato allo stato dell’arte tecnologico, riducendo progressivamente la tolleranza verso sistemi obsoleti, infrastrutture non aggiornate e processi di sicurezza inadeguati.
Tali standard non ricadono più esclusivamente nell’ambito IT. I programmi di conformità devono garantire che tutte le unità aziendali rispettino requisiti uniformi di sicurezza. Ciò implica l’integrazione delle misure di sicurezza nei processi di procurement, nelle procedure HR, nella revisione giuridica dei contratti e nelle decisioni strategiche. I regolatori si aspettano inoltre che le organizzazioni dimostrino una implementazione coerente e che monitorino, documentino e correggano eventuali deviazioni. La pressione sulla conformità aumenta anche in virtù dell’ampliamento dei poteri ispettivi e dell’inasprimento delle sanzioni.
La globalizzazione degli standard richiede inoltre alle organizzazioni di anticipare le future esigenze tecniche, quali architetture zero trust, metodi avanzati di cifratura e sistemi automatizzati di rilevamento. I regolatori mostrano crescente interesse per modelli di sicurezza predittiva che incoraggiano le organizzazioni ad agire proattivamente, anziché attendere il verificarsi di incidenti. Questa dinamica genera un obbligo di conformità in continua evoluzione, in cui l’innovazione tecnologica costante diventa essenziale per mantenere la conformità sia sul piano giuridico sia su quello operativo.
Modelli di responsabilità dei dirigenti in caso di fallimento della sicurezza informatica
I dirigenti devono affrontare un livello crescente di responsabilità personale e professionale in materia di cybersicurezza e resilienza informatica. Le normative moderne impongono ai componenti degli organi direttivi di supervisionare le strategie di sicurezza, i budget, le valutazioni dei rischi e i processi di risposta agli incidenti. L’essenza di tali obblighi risiede nella transizione da una responsabilità esclusivamente organizzativa a un modello di responsabilità individuale, in cui i dirigenti possono essere ritenuti personalmente responsabili in caso di carenze strutturali o negligenze. Questa evoluzione è accompagnata da sanzioni più severe, incluse misure amministrative, responsabilità civile e, in alcune giurisdizioni, conseguenze penali.
Le autorità di vigilanza si aspettano inoltre che i dirigenti siano in grado di prendere decisioni informate sugli investimenti in cybersicurezza e sulla gestione dei rischi. Ciò richiede una conoscenza tecnica e giuridica sufficiente per supervisionare sistemi complessi e requisiti di conformità articolati. La documentazione delle decisioni, dell’allocazione delle risorse e delle strutture di supervisione diventa un elemento cruciale della conformità. I comitati di governance, audit e gestione dei rischi devono fornire rapporti sistematici sulle strategie di cybersicurezza e condurre valutazioni periodiche, le cui conclusioni assumono rilievo diretto per le attività di vigilanza.
Il regime di responsabilità pone inoltre l’accento sulla cultura aziendale, sul ruolo di esempio dei vertici e sulla leadership dimostrabile in materia di cyber-resilience. I dirigenti devono garantire l’esistenza di programmi di formazione adeguati, quadri politici solidi, procedure di escalation interne e infrastrutture di reportistica che permettano una condivisione rapida e completa delle informazioni sulle minacce. Le responsabilità si estendono anche alla supervisione dei fornitori terzi, dei provider cloud e dell’intero ecosistema digitale aziendale. Ne deriva un modello integrato di responsabilità nel quale i dirigenti svolgono un ruolo proattivo e sostanziale nella definizione e nel mantenimento della strategia di resilienza cyber dell’organizzazione, sostenuto da obblighi giuridici chiari e da rigorosi requisiti documentali.
Armonizzazione dei requisiti di notifica delle violazioni dei dati
L’armonizzazione internazionale dei requisiti relativi alla notifica delle violazioni dei dati rappresenta un elemento fondamentale dell’evoluzione verso un panorama di compliance globale coerente e prevedibile. Le giurisdizioni cercano sempre più definizioni uniformi di ciò che deve essere considerato un incidente di sicurezza, delle soglie applicabili agli obblighi di notifica e dei termini entro i quali gli incidenti devono essere segnalati. Questa evoluzione deriva dalla constatazione che la varietà dei regimi nazionali può generare frammentazione, incoerenza nelle decisioni di notifica e un aumento degli oneri amministrativi per le organizzazioni che operano oltre confine. L’armonizzazione mira ad attenuare tali problematiche creando un sistema di notifica più standardizzato, nel quale trasparenza e prevedibilità svolgono un ruolo centrale. Per le organizzazioni ciò implica la necessità di strutturare in modo molto più rigoroso i processi di risposta agli incidenti, con criteri interni uniformi per l’escalation e il processo decisionale.
Un ruolo sempre più determinante è svolto dalle autorità di controllo, che contribuiscono alla definizione di norme pratiche armonizzate. Tali autorità pubblicano linee guida, aspettative e quadri interpretativi spesso coordinati con i loro omologhi internazionali. Ciò ha portato a una crescente convergenza di vedute su questioni quali la probabilità dei rischi per gli interessati, la valutazione dell’impatto e la proporzionalità delle misure di mitigazione. Le organizzazioni sono pertanto tenute a conformarsi non solo al testo letterale della normativa, ma anche alle aspettative armonizzate delle autorità, che di fatto guidano la compliance operativa. Di conseguenza, le decisioni in materia di notifica richiedono valutazioni giuridico-tecniche raffinate, nelle quali l’analisi del rischio, le evidenze forensi e la qualificazione giuridica sono strettamente intrecciate.
In aggiunta, le organizzazioni devono affrontare obblighi documentali più stringenti che si inseriscono nel processo di armonizzazione. Non è più sufficiente documentare esclusivamente gli incidenti effettivamente notificati; è altresì necessario registrare in modo dettagliato le motivazioni delle decisioni di non procedere alla notifica. Ciò crea una solida traccia di audit che può essere richiesta ed esaminata dalle autorità di controllo. Tale obbligo rafforza la necessità di meccanismi di compliance interni coerenti e di strutture di governance allineate, che richiedono una stretta collaborazione tra i team legali, IT e di gestione del rischio. L’armonizzazione determina così un aumento della responsabilità e della trasparenza nella gestione degli incidenti, contribuendo a una cultura della notifica più matura e standardizzata a livello globale.
L’uso della threat intelligence come obbligo di compliance
L’uso della threat intelligence sta evolvendo da strumento facoltativo di sicurezza a vero e proprio obbligo di compliance nell’ambito di vari quadri regolatori internazionali. Tale evoluzione deriva dal crescente riconoscimento che le organizzazioni non possono garantire una protezione adeguata senza una visibilità continua sulle minacce attuali, sulle vulnerabilità e sulle tecniche di attacco. Gli obblighi di threat intelligence comprendono sia il monitoraggio delle fonti di minacce esterne, sia l’integrazione delle informazioni raccolte nelle valutazioni interne dei rischi e nelle strategie di sicurezza. Ne deriva un dovere di progettare misure di sicurezza dinamiche, soggette a continui aggiustamenti sulla base delle informazioni aggiornate sulle minacce. I regolatori considerano sempre più l’assenza di capacità di threat intelligence come indicatore di strutture di sicurezza insufficienti, con conseguenze dirette in termini di controllo e enforcement.
L’applicazione della threat intelligence richiede inoltre una governance avanzata che consenta di tradurre rapidamente le informazioni in misure operative. Le organizzazioni devono dimostrare che i processi di threat intelligence sono integrati nei meccanismi di rilevamento e risposta, che gli indicatori di compromissione vengono incorporati negli strumenti di monitoraggio e che le informazioni strategiche sulle minacce contribuiscono alle decisioni relative agli investimenti e alle architetture di sicurezza. Tale integrazione comprende sia aspetti tecnici sia processi organizzativi, tra cui le procedure di escalation, la risposta agli incidenti, le valutazioni periodiche della sicurezza e l’aggiornamento dei quadri normativi interni. I regolatori richiedono visibilità non solo sulle fonti utilizzate, ma anche sulle modalità di validazione e follow-up delle analisi.
Inoltre, l’obbligo di utilizzare la threat intelligence implica una partecipazione strutturale ai meccanismi di condivisione delle informazioni all’interno di reti settoriali, autorità nazionali di cybersicurezza e consorzi internazionali. Queste reti costituiscono pilastri fondamentali della resilienza collettiva, consentendo alle organizzazioni di individuare tempestivamente minacce emergenti che altrimenti potrebbero passare inosservate. La partecipazione a tali reti implica tuttavia ulteriori obblighi di compliance, tra cui requisiti di riservatezza, una gestione prudente dei rischi relativi alle informazioni condivise e una valutazione periodica dell’affidabilità delle analisi ricevute. La threat intelligence diventa così un obbligo multidimensionale che integra aspetti tecnologici, giuridici e di governance.
Maggiore attenzione alle infrastrutture critiche e alle dipendenze dal cloud
L’attenzione regolatoria verso le infrastrutture critiche sta crescendo a livello globale, alimentata dalle crescenti preoccupazioni per gli attacchi informatici che potrebbero compromettere gravemente la stabilità socioeconomica. I regolatori classificano un numero sempre maggiore di settori e servizi come essenziali, applicando requisiti di sicurezza più severi, obblighi di audit rafforzati e obblighi ampliati di notifica degli incidenti. L’attenzione si sposta dalla sicurezza di base verso requisiti approfonditi di resilienza che riguardano il monitoraggio, la ridondanza, la pianificazione del ripristino e le dipendenze della supply chain. Le organizzazioni appartenenti a tali settori devono garantire la continuità operativa indipendentemente dalla natura o dall’entità delle minacce digitali, con particolare enfasi sulla dimostrabilità della preparazione tecnica e organizzativa.
Parallelamente, cresce l’attenzione verso le dipendenze dal cloud, che costituiscono ormai una componente strutturale delle operazioni digitali. I regolatori riconoscono che le vulnerabilità degli ecosistemi cloud rappresentano rischi sistemici, poiché incidenti presso un grande provider potrebbero generare effetti a cascata su più settori. I provider cloud sono quindi soggetti a requisiti stringenti simili a quelli applicati agli operatori di infrastrutture critiche. Le organizzazioni che dipendono da servizi cloud devono inoltre dimostrare un’adeguata comprensione delle proprie architetture cloud, delle misure di sicurezza implementate dai provider e delle implicazioni giuridiche connesse al trattamento dei dati all’interno di tali ambienti. Il rischio di concentrazione assume un ruolo sempre più rilevante: una dipendenza eccessiva da un unico fornitore è considerata una vulnerabilità strategica.
La combinazione tra obblighi relativi alle infrastrutture critiche e dipendenze dal cloud richiede un approccio integrato alla gestione del rischio, nel quale gli elementi tecnici, contrattuali e di compliance siano strettamente allineati. I contratti con i provider cloud devono includere diritti di audit, garanzie di ripristino, obblighi di notifica degli incidenti e requisiti di trasparenza riguardanti sub-responsabili e ubicazioni delle infrastrutture. Allo stesso tempo, le autorità di controllo si aspettano che le organizzazioni dispongano di strategie di uscita, piani di migrazione e processi di portabilità dei dati per mitigare i rischi di dipendenza. Tali requisiti sottolineano l’importanza di decisioni strategiche di governance che tengano conto sia dell’efficienza operativa sia della compliance giuridica in materia di infrastrutture digitali.
Implicazioni di compliance relative a cifratura, pseudonimizzazione e localizzazione dei dati
La cifratura e la pseudonimizzazione sono ampiamente riconosciute come strumenti fondamentali sia per la sicurezza tecnica sia per la mitigazione del rischio giuridico. I regolatori considerano tali misure come componenti essenziali dell’architettura di sicurezza moderna, poiché sono in grado di ridurre in modo significativo l’impatto delle violazioni dei dati. Le organizzazioni devono dimostrare di aver valutato quali dati devono essere cifrati o pseudonimizzati, quali standard di cifratura vengono adottati e come vengono gestite le chiavi crittografiche. Questi obblighi si applicano allo storage, al trasferimento e al trattamento dei dati. La mancata adozione di misure di cifratura adeguate può essere interpretata come una carenza strutturale della sicurezza, con conseguenze giuridiche rilevanti nell’ambito dei quadri internazionali di compliance.
L’implementazione della pseudonimizzazione comporta inoltre complessi obblighi di governance, in quanto una pseudonimizzazione efficace richiede una gestione rigorosamente separata e controllata delle informazioni supplementari. I regolatori si aspettano che le organizzazioni valutino sistematicamente se la pseudonimizzazione soddisfa i requisiti di mitigazione del rischio nel loro specifico contesto di trattamento. Ciò richiede una documentazione dettagliata delle metodologie, dei controlli di accesso, dei processi algoritmici e della loro implementazione operativa. La pseudonimizzazione non funziona quindi solo come misura tecnica, ma come un regime giuridico-organizzativo che comprende gestione degli accessi, documentazione dei processi e strutture di governance.
La localizzazione dei dati rappresenta, inoltre, un fattore sempre più rilevante nella compliance internazionale, spinta da tensioni geopolitiche, esigenze di sovranità digitale e timori relativi all’accesso straniero ai dati. I regolatori introducono requisiti sempre più frequenti volti a conservare determinate categorie di dati entro i confini nazionali o in specifiche regioni geografiche. Ciò ha un impatto diretto sulle strategie cloud, sulla selezione dei fornitori, sulle architetture dei dati e sugli accordi contrattuali. Le organizzazioni devono condurre analisi dettagliate delle giurisdizioni in cui i dati vengono archiviati e trattati, inclusa la valutazione dei rischi relativi all’accesso extraterritoriale previsto dalla normativa straniera. Ne deriva una necessità strategica di gestione dei dati che integri compliance, sicurezza e rischio geopolitico.
Regolamentazione degli strumenti di sicurezza basati sull’IA e rischi di sovra-automazione
Gli strumenti di sicurezza basati sull’intelligenza artificiale offrono capacità senza precedenti in termini di rilevamento, analisi e risposta, ma introducono anche nuovi rischi giuridici e operativi. I quadri regolatori si stanno evolvendo rapidamente per tenere conto delle caratteristiche peculiari dei sistemi di IA, tra cui bias algoritmici, processi di autoapprendimento, opacità dei modelli e dipendenza da flussi di dati esterni. Le organizzazioni devono effettuare valutazioni esplicite dei rischi connessi all’impiego dell’IA nei domini della sicurezza, inclusa la validazione degli algoritmi, la verifica dei dati di addestramento e la valutazione dei margini di errore. L’integrazione dell’IA nei processi di sicurezza deve avvenire in modo dimostrabile sulla base di una supervisione strutturata, valutazioni documentate e chiari percorsi di escalation verso decisori umani.
I regolatori mettono inoltre in guardia dai rischi della sovra-automazione, situazione in cui un’eccessiva fiducia in sistemi di sicurezza autonomi può determinare segnali mancati, escalation errate o risposte insufficienti a incidenti complessi che richiedono interpretazione umana. I quadri regolatori enfatizzano sempre più l’importanza dei modelli human-in-the-loop, nei quali l’expertise umana mantiene la responsabilità finale per le decisioni critiche di sicurezza. Ciò richiede una documentazione accurata della ripartizione dei ruoli, dei meccanismi di monitoraggio, delle capacità di override e delle procedure di valutazione delle decisioni basate sull’IA.
Infine, le organizzazioni sono soggette a obblighi di trasparenza e spiegabilità dei sistemi di sicurezza basati sull’IA, soprattutto quando tali sistemi contribuiscono a decisioni che comportano conseguenze giuridiche. Le autorità di controllo richiedono visibilità sulla logica delle decisioni algoritmiche, sull’affidabilità dei meccanismi di rilevamento e sui processi di governance che sovrintendono allo sviluppo, all’implementazione e all’aggiornamento dei sistemi di IA. Ne deriva un obbligo di compliance multidimensionale, in cui tecnologia, valutazione giuridica, governance ed etica risultano strettamente interconnesse.
