Responsabilità amministrativa enti: la legge 231/01 e i reati informatici

Il Decreto Legislativo 231/01 ha introdotto una fondamentale innovazione nel contesto giuridico italiano, stabilendo la responsabilità amministrativa degli enti e delle società per determinati reati, noti come “reati presupposto,” commessi da individui che occupano posizioni di rappresentanza, amministrazione o direzione, o da soggetti sottoposti alla loro supervisione nel proprio interesse o a proprio vantaggio.
Potrebbe interessarti anche: La responsabilità amministrativa degli enti

Indice

1. I reati informatici


L’importanza di delineare chiaramente il tipo di rapporto che può generare la responsabilità dell’ente diventa ancora più significativa con l’approvazione della Legge 48/2008, che ha ratificato la Convenzione di Budapest del Consiglio d’Europa sul cybercrime. Questa ratifica ha esteso la responsabilità degli enti ai reati informatici, aggiungendo una nuova dimensione a questa materia.
I reati informatici inclusi nel Decreto possono essere suddivisi in tre categorie principali:

  1. Danneggiamento di hardware, software e dati: Questi reati riguardano l’accesso non autorizzato ai sistemi informatici, l’intercettazione o l’interruzione di dati attraverso l’installazione di specifici software o hardware. È importante notare che l’aggravante si applica quando tali reati coinvolgono sistemi informatici di pubblica utilità.
  2. Detenzione e diffusione di software e attrezzature informatiche: Questa categoria punisce coloro che possiedono o diffondono software o attrezzature utilizzabili per commettere reati informatici di cui sopra.
  3. Violazione dell’integrità dei documenti informatici e della firma digitale: Questi reati riguardano la manipolazione non autorizzata di documenti digitali e la falsificazione di firme digitali.

Spesso, questi reati sono interconnessi tra loro, e prevenirli rappresenta una sfida complessa. Sono spesso commessi da individui che sfruttano le proprie competenze informatiche e approfittano delle vulnerabilità nella rete aziendale. L’avvento della digitalizzazione ha rivoluzionato il mondo aziendale, imponendo alle aziende una crescente informatizzazione. Questa trasformazione è diventata un requisito essenziale per ottimizzare l’organizzazione dei processi interni. Tuttavia, l’uso dell’informatica e del mondo virtuale ha anche comportato rischi, poiché la protezione cibernetica non è sempre stata adeguatamente allineata con l’evoluzione dei processi produttivi.
La crescente criminalità online ha reso i reati informatici una minaccia non solo interna alle aziende, ma anche esterna. Gli attacchi cibernetici e le violazioni dei dati aziendali da parte di hacker sempre più esperti sono diventati allarmanti. In risposta a ciò, i dirigenti aziendali hanno dovuto riconoscere la necessità di non solo proteggere la rete interna dell’azienda ma anche di adottare misure di tutela verso l’esterno.
Il legislatore ha riconosciuto agli enti la possibilità di evitare o mitigare la responsabilità per reati specifici, noti come “reati presupposto,” attraverso l’adozione di un modello organizzativo che comprenda linee guida e protocolli volti a prevenire tali reati. Nel contesto della preparazione del Modello 231, la gestione dei rischi connessi al mondo dell’informatica si basa principalmente su tre pilastri fondamentali: prevenzione, controlli, formazione.


Potrebbero interessarti anche:

2. Prevenzione


A livello di prevenzione, è fondamentale che ogni azienda stabilisca regole comportamentali e di sicurezza dedicate sia agli utenti interni che a quelli esterni. Per quanto riguarda gli utenti interni, è cruciale inizialmente definire i livelli di accesso in base alla confidenzialità delle informazioni e alla responsabilità di ciascun individuo. Una politica di sicurezza del sistema informatico (ICS policy) ben strutturata regolamenta l’accesso ai documenti e alle informazioni aziendali e il loro utilizzo. Al fine di garantire l’affidabilità e la sicurezza dei sistemi informativi interni, ogni azienda dovrebbe includere almeno le seguenti disposizioni nell’ICS policy:

  • Protezione da software dannosi tramite l’uso di antivirus e il monitoraggio/aggiornamento costante.
  • Esecuzione regolare di backup dei dati aziendali e dei software utilizzati.
  • Sicurezza nelle comunicazioni con terze parti, compreso il regolamento sull’uso di dispositivi rimovibili come le chiavette USB e la tracciatura delle attività svolte su applicazioni, sistemi e reti, con protezione contro gli accessi non autorizzati.
  • Monitoraggio periodico dei log che registrano le attività degli utenti, le eccezioni e gli eventi relativi alla sicurezza, con accesso ai servizi di rete consentito solo a utenti specificamente autorizzati e restrizioni sull’accesso alla rete.
  • Revisione periodica dei diritti di accesso degli utenti, sia in base a intervalli temporali prestabiliti che in caso di cambiamenti nel rapporto che giustifica l’accesso.
  • Periodico rinnovo delle credenziali degli utenti e segmentazione della rete per garantire il rispetto delle norme di controllo degli accessi alle applicazioni aziendali.
  • Chiusura automatica delle sessioni inattive dopo un determinato periodo di tempo e l’adozione di regole di sicurezza, come il clear screen, per i dispositivi di elaborazione utilizzati.
  • Implementazione e sviluppo dei controlli crittografici per proteggere le informazioni e gestire le chiavi crittografiche.
  • Esecuzione regolare di test di sicurezza informatica per proteggersi dalle minacce informatiche.

Per quanto riguarda gli utenti esterni, è consigliabile adottare misure quali la richiesta di abilitazione preventiva da parte del responsabile aziendale competente e la creazione di una rete separata per i soggetti esterni, diversa da quella utilizzata dal personale aziendale. È inoltre importante applicare le procedure di sicurezza stabilite per lo scambio di informazioni tramite strumenti di comunicazione come le chiavette USB o i CD-ROM.

3. Controlli


Nell’ambito della gestione dei rischi legati alla sicurezza informatica, è cruciale implementare una serie di controlli per garantire la protezione dei dati aziendali e prevenire possibili minacce. Ecco alcuni aspetti chiave da considerare.
Nominare un Amministratore di Sistema
L’azienda dovrebbe designare un amministratore di sistema esperto in IT responsabile del monitoraggio dei sistemi informativi aziendali. Questa figura dovrebbe gestire tutte le segnalazioni provenienti dalle diverse funzioni aziendali.
Audit Interni
È fondamentale programmare audit interni periodici, inclusi penetration test ed esercitazioni di ingegneria sociale. Questi controlli aiutano a identificare e correggere potenziali vulnerabilità nei sistemi informativi aziendali.
Aggiornamento costante
Un aspetto critico della sicurezza informatica è il controllo dell’aggiornamento delle minacce e delle patch di sicurezza da installare. Monitorare attentamente queste modifiche può prevenire l’introduzione di vulnerabilità non intenzionali.
Tutti questi strumenti e misure di controllo sono altamente efficaci anche nella protezione contro le minacce esterne. L’implementazione del Modello 231 può essere un prezioso strumento per affrontare le minacce informatiche provenienti dall’esterno.
Negli ultimi anni, si sono verificati sempre più reati nel cyberspazio, alcuni dei quali non rientrano nell’elenco del D. Lgs. 231/01 ma che hanno comunque gravi conseguenze economiche e sulla reputazione aziendale. Questi includono attacchi di phishing, cyber-laundering e diffamazione online. Gli autori di tali reati sono spesso anonimi e difficili da rintracciare, poiché possono trovarsi in paesi stranieri.
Pertanto, l’aumento delle misure di prevenzione e controllo contenute nel Modello 231, compresi gli strumenti di contrasto alle minacce esterne, è vantaggioso per le aziende che cercano una protezione completa e la continuità delle loro attività. Le aziende dovrebbero anche stabilire una procedura di disaster recovery per gestire incidenti e anomalie legate alla sicurezza informatica e garantire la continuità aziendale e il ripristino della normale operatività dopo un eventuale incidente.

4. Formazione


La formazione è un elemento cruciale per garantire la sicurezza informatica all’interno dell’azienda. L’Ente è tenuto ad adottare un programma di sensibilizzazione sulla sicurezza delle informazioni con l’obiettivo di rendere i dipendenti e, se del caso, i fornitori, consapevoli delle loro responsabilità per la sicurezza delle informazioni e dei mezzi con cui tali responsabilità vengono assolte.
Obiettivi del Programma di Sensibilizzazione sulla Sicurezza Informatica dovrebbero essere i seguenti.
Consapevolezza delle responsabilità: Il programma dovrebbe chiarire le responsabilità di ciascun dipendente e fornitore per la sicurezza delle informazioni e come queste responsabilità vengono attuate all’interno dell’azienda.
Aggiornamenti regolari: Le attività di sensibilizzazione dovrebbero essere pianificate regolarmente, in modo che coprano tutti i dipendenti e fornitori, compresi i nuovi ingressi. Inoltre, il programma dovrebbe essere aggiornato regolarmente per riflettere le politiche e le procedure organizzative più recenti.
Apprendimento dagli incidenti: cosiddetto lesson learned. Il programma dovrebbe basarsi su esperienze passate, compresi incidenti o casi simili di quasi reati in ambito di sicurezza delle informazioni. Questi casi possono servire da casi studio per illustrare le minacce e le conseguenze dei comportamenti non sicuri.
Figure di riferimento: È importante avere figure aziendali specifiche che siano formate per gestire segnalazioni di anomalie interne e riconoscere le minacce informatiche. Questi referenti per la sicurezza informatica sono fondamentali per una risposta tempestiva a eventi dannosi.
Benefici di una adeguata formazione aziendale
Miglioramento della collaborazione: La formazione contribuisce a una migliore collaborazione nella gestione di dati ed informazioni all’interno dell’azienda. Tutti i dipendenti dovrebbero comprendere l’importanza della sicurezza delle informazioni.
Tempestività d’intervento: La formazione aiuta a individuare e rispondere tempestivamente a eventi dannosi, sia essi accidentali o fraudolenti. La prontezza nell’azione può ridurre notevolmente le conseguenze di un attacco informatico.
Cultura aziendale per la sicurezza informatica: La formazione contribuisce a diffondere una cultura aziendale focalizzata sulla sicurezza informatica. Questa cultura aziendale promuove comportamenti sicuri tra i dipendenti, il che è essenziale per una protezione efficace contro il cybercrime.

Volume consigliato

FORMATO CARTACEO

La responsabilità amministrativa degli enti

Il modello di organizzazione e gestione (o “modello ex D.Lgs. n. 231/2001”) adottato da persona giuridica, società od associazione privi di personalità giuridica, è volto a prevenire la responsabilità degli enti per gli illeciti amministrativi dipendenti da reato.Le imprese, gli enti e tutti i soggetti interessati possono tutelarsi, in via preventiva e strutturata, rispetto a tali responsabilità ed alle conseguenti pesanti sanzioni, non potendo essere ritenuti responsabili qualora, prima della commissione di un reato da parte di un soggetto ad essi funzionalmente collegato, abbiano adottato ed efficacemente attuato Modelli di organizzazione e gestione idonei ad evitarlo.Questo volume offre, attraverso appositi strumenti operativi, una panoramica completa ed un profilo dettagliato con casi pratici, aggiornato con la più recente giurisprudenza. La necessità di implementare un Modello Organizzativo ex D.Lgs. n. 231/2001, per gli effetti positivi che discendono dalla sua concreta adozione, potrebbe trasformarsi in una reale opportunità per costruire un efficace sistema di corporate governance, improntato alla cultura della legalità.Damiano Marinelli, avvocato cassazionista, arbitro e docente universitario. È Presidente dell’Associazione Legali Italiani (www.associazionelegaliitaliani.it) e consigliere nazionale dell’Unione Nazionale Consumatori. Specializzato in diritto civile e commerciale, è autore di numerose pubblicazioni, nonché relatore in convegni e seminari.Piercarlo Felice, laurea in giurisprudenza. Iscritto all’albo degli avvocati, consulente specializzato in Compliance Antiriciclaggio, D.Lgs. n. 231/2001, Trasparenza e Privacy, svolge attività di relatore e docente in convegni, seminari e corsi dedicati ai professionisti ed al sistema bancario, finanziario ed assicurativo, oltre ad aver svolto docenze per la Scuola Superiore dell’Economia e delle Finanze (Scuola di Formazione del Ministero dell’Economia e delle Finanze) sul tema “Antiusura ed Antiriciclaggio”. Presta tutela ed assistenza legale connessa a violazioni della normativa Antiriciclaggio e normativa ex D.Lgs. n. 231/2001. È tra i Fondatori, nonché Consigliere, dell’Associazione Italiana Responsabili Antiriciclaggio (AIRA). Collabora con l’Università di Pisa come docente per il master post laurea in “Auditing e Controllo Interno”. Ha ricoperto l’incarico di Presidente dell’Organismo di Vigilanza ex D.Lgs. n. 231/2001 presso la Banca dei Due Mari di Calabria Credito Cooperativo in A.S.Vincenzo Apa, laureato in economia e commercio e, successivamente, in economia aziendale nel 2012. Commercialista e Revisore Contabile, dal 1998 ha intrapreso il lavoro in banca, occupandosi prevalentemente di finanziamenti speciali alle imprese, di pianificazione e controllo di gestione, di organizzazione e, nel 2014/2015, ha svolto l’incarico di Membro dell’Organismo di Vigilanza 231 presso la BCC dei Due Mari. È attualmente dipendente presso la BCC Mediocrati. Ha svolto diversi incarichi di docenza in corsi di formazione sull’autoimprenditorialità, relatore di seminari e workshop rivolti al mondo delle imprese.Giovanni Caruso, iscritto presso l’Ordine dei Consulenti del Lavoro di Cosenza e nel registro dei tirocinanti dei Revisori Legali dei Conti. Laureato in Scienze dell’Amministrazione, in possesso di un Master in Diritto del Lavoro e Sindacale e diverse attestazioni in ambito Fiscale e Tributario, Privacy e Sicurezza sul Lavoro. Svolge l’attività di consulente aziendale in materia di Organizzazione, Gestione e Controllo, Sicurezza sui luoghi di lavoro, Finanza Aziendale e Privacy. Ha svolto incarichi di relatore in seminari e workshop rivolti a Professionisti ed Imprese.

Damiano Marinelli, Vincenzo Apa, Giovanni Caruso, Piercarlo Felice | Maggioli Editore 2019

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento