Polizza D&O amministratori: quando la copertura standard non basta

Parliamo della polizza D&O amministratori. La responsabilità degli amministratori di società si è trasformata in questi anni da rischio teorico a minaccia patrimoniale concreta. L’inasprimento giurisprudenziale, l’espansione dei reati presupposto del D.Lgs. 231/2001, la crescente attenzione a compliance ESG e cybersecurity hanno ampliato enormemente il perimetro di responsabilità personale di chi siede in un consiglio di amministrazione.

In questo contesto, la polizza D&O (Directors & Officers Liability Insurance) è passata da strumento di tutela per grandi gruppi quotati a necessità diffusa anche per PMI strutturate. Ma la vera domanda non è “serve una polizza D&O?”, bensì “quella polizza D&O mi protegge davvero quando serve?”.

Che cos’è la polizza D&O amministratori e cosa copre

La polizza D&O è una copertura assicurativa che protegge gli amministratori, i sindaci e i dirigenti di una società dalle conseguenze patrimoniali derivanti da loro atti o omissioni compiuti nell’esercizio delle funzioni.

La copertura standard tipicamente include:

• responsabilità verso terzi: richieste di risarcimento avanzate da clienti, fornitori, concorrenti, autorità di vigilanza;
• responsabilità verso la società: azioni di responsabilità promosse dalla stessa società contro i propri amministratori (azione sociale di responsabilità ex art. 2393 c.c.);
• spese legali di difesa: costi per la difesa in procedimenti civili, penali, amministrativi.

La polizza interviene sia quando l’amministratore è personalmente chiamato a rispondere, sia quando la società rimborsa l’amministratore per danni pagati in sua vece.

Quando la polizza D&O standard non basta: le esclusioni critiche

Il problema delle polizze D&O non è ciò che coprono, ma ciò che escludono. Le clausole di esclusione standard trasformano spesso una copertura apparentemente solida in una protezione con molte zone d’ombra.

Le esclusioni tipiche che lasciano scoperti gli amministratori

1. Condotte dolose e colpa grave

La quasi totalità delle polizze D&O esclude la copertura per condotte poste in essere con dolo o colpa grave. In astratto è comprensibile: nessuna assicurazione può coprire comportamenti intenzionalmente illeciti.

In concreto, però, questa clausola crea un problema serio: nelle contestazioni penali o nelle azioni di responsabilità, l’accusa parte sempre dall’ipotesi di dolo o colpa grave. Anche quando l’amministratore è in buona fede, deve prima difendersi dall’accusa di condotta dolosa, e solo dopo la sentenza definitiva può dimostrare che si è trattato di colpa lieve.

Durante tutto il procedimento, quindi, l’assicurazione può rifiutare l’anticipazione delle spese legali sulla base del fatto che la contestazione ipotizza dolo o colpa grave. L’amministratore si trova così a dover anticipare costi di difesa elevati senza la certezza di un rimborso futuro.

2. Violazioni di normative specifiche

Molte polizze escludono o limitano fortemente la copertura per violazioni di normative su: privacy e GDPR, sicurezza sul lavoro, normativa ambientale, antiriciclaggio, sanzioni internazionali, anticorruzione.

Si tratta esattamente degli ambiti dove oggi si concentra il maggior numero di contenziosi e dove le sanzioni personali agli amministratori sono più aggressive.

3. Responsabilità da reati presupposto D.Lgs. 231/2001

Alcune polizze escludono esplicitamente la copertura per procedimenti legati ai reati presupposto della responsabilità amministrativa degli enti. Altre la limitano a specifiche categorie di reati.

Poiché il catalogo dei reati 231 si è enormemente ampliato negli anni (oggi include anche reati tributari, reati ambientali, reati informatici), questa esclusione può lasciare scoperta una quota significativa di rischio concreto.

4. Esclusione per inchieste preliminari e procedimenti amministrativi

Molte polizze intervengono solo quando si è configurata formalmente una “richiesta di risarcimento” (claim). Questo significa che le spese sostenute durante inchieste preliminari, indagini della Guardia di Finanza, istruttorie di autorità di vigilanza (Consob, Banca d’Italia, AGCM, Garante Privacy) potrebbero non essere coperte.

Si tratta di fasi procedimentali lunghe e costose, dove l’assistenza legale è fondamentale, ma dove la polizza potrebbe non intervenire ancora.

5. Retroattività limitata

Le polizze D&O sono stipulate “claims made”: coprono le richieste di risarcimento presentate durante il periodo di validità della polizza, indipendentemente da quando si è verificato il fatto.

Il problema sorge quando un amministratore viene nominato e sottoscrive una polizza D&O, ma viene poi chiamato a rispondere per fatti avvenuti prima della stipula (ad esempio, operazioni gestite dal precedente CDA). Se la polizza non prevede una clausola di retroattività illimitata, o prevede una retroattività limitata (es. 12 o 24 mesi), questi eventi restano scoperti.

Responsabilità personale vs. patrimoniale della società: chi paga davvero?

Un aspetto spesso sottovalutato è la relazione tra responsabilità dell’amministratore e patrimonio della società.

Il meccanismo dell’azione sociale di responsabilità

Quando un’azione di responsabilità viene promossa dalla società contro i propri amministratori (art. 2393 c.c.), i danni accertati dovrebbero essere pagati personalmente dagli amministratori. In questo caso, la polizza D&O dovrebbe intervenire a protezione del patrimonio personale dell’amministratore.

Nella pratica, però, molte società “perdonano” i propri amministratori o rinunciano all’azione di responsabilità, salvo poi scoprire – troppo tardi – che la rinuncia è inefficace se la società entra in crisi o fallisce. Il curatore fallimentare o l’amministrazione straordinaria possono infatti riaprire l’azione di responsabilità anche anni dopo.

Responsabilità verso i creditori sociali (art. 2394 c.c.)

Quando la società è insolvente, i creditori possono agire direttamente contro gli amministratori per il danno derivante dall’inosservanza degli obblighi inerenti alla conservazione dell’integrità del patrimonio sociale.

Questa è una delle ipotesi più pericolose, perché:

• non richiede dolo, è sufficiente la colpa;
• il danno può essere di importo elevatissimo (pari al “buco” patrimoniale della società);
• la prescrizione è di cinque anni dalla cessazione dalla carica.

Alcune polizze D&O escludono o limitano questa copertura, altre la includono ma con massimali specifici e spesso inadeguati rispetto al rischio effettivo.

Responsabilità solidale con altri amministratori

Gli amministratori rispondono solidalmente per i danni derivanti dall’inosservanza dei loro doveri, salvo che dimostrino di essere esenti da colpa (art. 2392 c.c.).

Questo significa che un amministratore può essere chiamato a rispondere anche per condotte altrui, se non si è attivato per prevenirle o non ha fatto iscrivere il proprio dissenso a verbale.

La polizza D&O copre anche questa responsabilità solidale? Dipende dai massimali e dalla struttura della polizza: alcune prevedono un massimale unico per tutti gli assicurati (quindi da “condividere” tra più amministratori), altre prevedono massimali individuali.

Integrazione con assicurazione 231 e cyber: la protezione a strati

Una copertura efficace della responsabilità amministrativa non può limitarsi alla polizza D&O, ma richiede un approccio integrato.

Assicurazione responsabilità da reato (231)

La polizza 231 è specificamente disegnata per coprire le sanzioni pecuniarie, le spese legali e i costi di implementazione dei modelli organizzativi previsti dal D.Lgs. 231/2001.

Si tratta di una copertura complementare alla D&O, non sostitutiva:

• la polizza 231 copre la società per le sanzioni amministrative inflitte alla persona giuridica;
• la polizza D&O copre gli amministratori per la loro responsabilità personale derivante dai reati presupposto.

L’integrazione efficace prevede:

• un coordinamento tra i massimali delle due polizze;
• la verifica che la polizza D&O non escluda i reati 231 coperti dalla polizza dedicata;
• clausole di cedevolezza che evitino duplicazioni o vuoti di copertura.

Polizza cyber risk

Con l’introduzione dei reati informatici tra i reati presupposto 231 e l’aumento dei data breach, la responsabilità degli amministratori per violazioni di cybersecurity è diventata concreta.

Le polizze cyber coprono:

• i costi di notifica agli interessati e alle autorità in caso di data breach;
• le spese per il ripristino dei sistemi;
• le richieste di risarcimento da parte di terzi danneggiati;
• le sanzioni del Garante Privacy.

Anche qui, serve coordinamento con la D&O:

• alcune polizze D&O escludono esplicitamente il cyber risk;
• altre lo includono ma con massimali insufficienti;
• la soluzione migliore è una polizza cyber dedicata che si integri con la D&O per la responsabilità personale degli amministratori.

Professional Indemnity per specifiche funzioni

In alcuni settori (finanziario, healthcare, consulenza), gli amministratori svolgono anche funzioni tecniche che richiedono coperture Professional Indemnity dedicate.

Queste polizze coprono errori professionali specifici che potrebbero essere esclusi dalla D&O standard.

Costi effettivi: quanto si spende per una protezione adeguata

I premi delle polizze D&O variano enormemente in funzione di: dimensione e fatturato della società, settore di attività, numero di amministratori da assicurare, massimali richiesti, franchigie e scoperti, storia assicurativa e sinistri pregressi.

PMI (fatturato fino a 10 milioni di euro)

Per una piccola-media impresa con amministratore unico o CDA ristretto:

• massimale: 500.000 – 1.000.000 euro
• premio annuo: 1.500 – 4.000 euro
• franchigia tipica: 2.500 – 5.000 euro per sinistro

A questo livello, la copertura è essenziale ma spesso ridotta all’osso: molte polizze low-cost escludono proprio i rischi più rilevanti (231, privacy, cyber).

Medie imprese (fatturato 10-50 milioni di euro)

• massimale: 2.000.000 – 5.000.000 euro
• premio annuo: 5.000 – 15.000 euro
• franchigia tipica: 10.000 – 25.000 euro per sinistro

In questa fascia diventa possibile negoziare estensioni di copertura significative e clausole personalizzate.

Grandi imprese e gruppi (fatturato oltre 50 milioni)

• massimale: 10.000.000 – 50.000.000 euro (spesso con polizze multi-strato)
• premio annuo: 30.000 – 200.000+ euro
• franchigia tipica: 50.000 – 100.000 euro per sinistro

A questo livello, la polizza viene strutturata su misura con coperture specifiche per ogni area di rischio.

Costi aggiuntivi da considerare

Oltre al premio base, vanno considerati:

• estensioni di garanzia: per coprire aree normalmente escluse (es. +20-40% di premio per estensione cyber, +15-25% per estensione retroattività illimitata);
• integration clause: costi per coordinare più polizze (D&O + 231 + Cyber) sotto un’unica struttura assicurativa;
• run-off coverage: copertura post-cessazione della carica, fondamentale dato che molte azioni di responsabilità emergono anni dopo (costo tipico: 100-150% del premio annuo per 6 anni di copertura).

Come valutare se la propria polizza D&O è adeguata

Per amministratori e società, la checklist di verifica dovrebbe includere:

1. Massimali

• Il massimale è adeguato rispetto al patrimonio netto della società e ai potenziali danni in caso di crisi?
• Esiste un massimale aggregato per tutti gli amministratori o massimali individuali?

2. Retroattività

• La polizza copre fatti avvenuti prima della stipula?
• Se sì, con quale limite temporale?

3. Esclusioni critiche

• Come sono gestiti dolo e colpa grave?
• Sono esclusi i reati 231, il cyber risk, le violazioni privacy?
• È coperta l’azione ex art. 2394 c.c. (responsabilità verso creditori)?

4. Spese di difesa

• Sono coperte anche le spese per inchieste preliminari e procedimenti amministrativi?
• L’assicurazione anticipa le spese o rimborsa solo a procedimento chiuso?
• Esiste un massimale separato per le spese legali?

5. Clausola claims made e periodo di ultrattività

• Quanto dura la copertura dopo la cessazione della polizza?
• È possibile acquistare un’estensione run-off?

6. Coordinamento con altre coperture

• La polizza si coordina con eventuali polizze 231, cyber, professional indemnity?
• Esistono clausole di cedevolezza chiare?

Conclusioni: protezione reale vs. protezione apparente

La polizza D&O è uno strumento essenziale di tutela patrimoniale per chi assume responsabilità di governance in una società, ma non tutte le polizze D&O sono uguali.

La differenza tra una protezione reale e una protezione apparente sta nei dettagli: nelle clausole di esclusione, nei meccanismi di coordinamento tra coperture, nella gestione delle spese legali, nella retroattività.

Per amministratori, sindaci e dirigenti, sottoscrivere una polizza D&O “qualsiasi” solo per soddisfare un requisito formale può rivelarsi peggio che non averla affatto: crea un falso senso di sicurezza che viene brutalmente smentito proprio quando serve.

La scelta consapevole richiede:

• un’analisi dei rischi specifici della società e del settore;
• la lettura integrale delle condizioni di polizza (non solo la sintesi commerciale);
• la verifica del coordinamento con altre coperture assicurative;
• una valutazione economica che consideri non solo il premio, ma il costo potenziale di un sinistro scoperto.

In un contesto dove la responsabilità personale degli amministratori è sempre più esposta, la domanda non è “posso permettermi una polizza D&O adeguata?”, ma “posso permettermi di non averla?”.

---

Nota: Le informazioni contenute in questo articolo hanno finalità divulgativa e non costituiscono consulenza legale o assicurativa. Per valutazioni specifiche sulla propria posizione è necessario rivolgersi a professionisti qualificati.