Il senato ha approvato il disegno legge S2012 (approvato anche dalla camera lo scorso 20 febbraio) con il quale si ratifica la Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001.
L’obiettivo enunciato chiaramente nel Preambolo della Convenzione, è quello di promuovere una politica comune, intesa a tutelare la società dai crimini informatici, attraverso l’armonizzazione delle procedure nazionali ed il potenziamento dell’assistenza giudiziaria in questi settori.
Oltre ad alcune novità in materia di reati e di procedura penale la Convenzione prevede anche la responsabilità (penale, civile o amministrativa) delle persone giuridiche, quando detti reati siano commessi da una persona fisica esercitante poteri direttivi nel loro ambito (articoli 11 e 12).
Nella Convenzione è stabilito, inoltre, che le sanzioni da adottare da parte degli Stati devono essere effettive, proporzionate, dissuasive e comprendenti anche pene detentive (articolo 13). Il nostro legislatore ha quindi introdotto l’articolo 24-bis del decreto legislativo 8 giugno 2001, n. 231, rispondendo all’esigenza di introdurre forme di responsabilità penale per le persone giuridiche anche con riferimento ai reati informatici più gravi. Ma qui forse è andato un po’ oltre quanto richiesto: infatti se la convenzione richiedeva la sanzionabilità della persona giuridica quando si sia avvantaggiata di un reato commesso da una persona fisica esercitante poteri direttivi, l’introduzione dell’art. 24bis ha un effetto ben più ampio.
Ricordiamo che in base all’art. 5 del D.Lgs 231/2001 l’ente (fornito di personalità giuridica o anche le società e associazioni anche prive di personalità giuridica) è responsabile per i reati commessi nel suo interesse o a suo vantaggio da persone che rivestono funzioni di rappresentanza, amministrazione, direzione dell’ente o di una sua unità organizzativa ma anche da persone sottoposte alla loro direzione o vigilanza.
Inoltre, la responsabilità dell’ ente sussiste anche quando l’autore del reato non è stato identificato o non è imputabile.
Ne deriva che, in forza di questa previsione, si obbligano le aziende ad adottare modelli concreti di organizzazione e vigilanza al fine di evitare la commissione dei reati informatici o commessi attraverso l’uso dell’informatica e ad individuare sistemi per l’individuazione dell’autore di un eventuale reato.
Ma è davvero questa l’unica soluzione possibile per ottenere maggiore sensibilità nei confronti dei crimini informatici?
Le aziende cercheranno di impedire la commissione dei reati, e di individuare i colpevoli.. ma quale prezzo pagherà il lavoratore? Fino a che punto potranno spingersi tali controlli?
A cura di Dr. Luigi Foglia – Consulente Legale ICT – Studio Legale Lisi
Scrivi un commento
Accedi per poter inserire un commento