Il Modello 231, lo smart working e information security in tempo di covid

Scarica PDF Stampa
L’emergenza covid-19 ha reso necessaria la rimodulazione delle prassi operative per la ridefinizione dei processi organizzativi del modello 231, tra smart working e cybersecurity

Da meno di un anno il D.Lgs. 231/2001 ha compiuto 20 anni.

Una norma che può sembrare anziana ma che è di strettissima attualità le cui modifiche e aggiornamenti sono costanti per la particolare delicatezza della materia e delle conseguenze che derivano dalla sua applicazione in un periodo di sviluppo delle attività prevenzione.

Negli ultimi tempi, poi, anche a seguito delle conseguenze della pandemia, le aziende hanno maturato una sempre più crescente consapevolezza dell’importanza di dotarsi di sistemi di prevenzione volti a limitare il rischio di commissione di reati al loro interno e di conseguenza è cambiato anche il ruolo e l’approccio dell’Organismo di Vigilanza (OdV).

Indice:

I principi di sicurezza nello smart working e la pandemia

La diffusione dell’epidemia Covid-19 ha già messo nel 2020 e 2021 a rischio ed a dura prova la tenuta dei modelli organizzativi ex lege 231/2001 e anche nel 2022 il problema persiste.

In effetti mentre all’inizio gli effetti invasivi che hanno necessitato di una attenta valutazione avessero coinvolto solo il settore della salute e della sicurezza nei luoghi di lavoro, la stessa ha avuto anche riflessi sui reati societari, quelli informatici ed ai reati contro la pubblica amministrazione.

L’area invasiva ha interessato soprattutto il fenomeno dello smart working, ossia della necessità di garantire il cosiddetto lavoro agile cioè la modalità di esecuzione del rapporto di lavoro subordinato caratterizzato dall’assenza di vincoli orari o spaziali e un’organizzazione per fasi, cicli e obiettivi, stabilita mediante accordo tra dipendente e datore di lavoro; una modalità che aiuta il lavoratore a conciliare i tempi di vita e lavoro e, al contempo, favorire la crescita della sua produttività. Ma nel caso specifico l’esigenza specifica è stata dettata non dal favorire la crescita produttiva (spirito ispiratorio della norma) ma per pericoli di contagio e incolumità personale privata e pubblica che ha costretto milioni di lavoratori a svolgere le proprie mansioni da casa.

La definizione di smart working, contenuta nella Legge n. 81/2017, pone l’accento sulla flessibilità organizzativa, sulla volontarietà delle parti che sottoscrivono l’accordo individuale e sull’utilizzo di strumentazioni che consentano di lavorare da remoto (come ad esempio: pc portatili, tablet e smartphone) ed è qui che intervengono le criticità del rapporto rispetto al MOG ed al ruolo dell’organismo di vigilanza.


Per maggiori approfondimenti consigliamo il volume “I rapporti tra normativa privacy e Modello 231” edito da Maggioli Editore.
L’opera analizza in parallelo le due normative, sottolineando ed approfondendo le similitudini tra il sistema di gestione ed organizzazione degli enti/società e le attività relative al trattamento dei dati personali.
>> Clicca QUI per maggiori informazioni


Integrità dell’information security

Come viene garantito da una postazione privata ubicata in una civile abitazione (presumibilmente luogo di residenza o dimora del lavoratore/funzionario/dirigente) garantire tutti i sistemi di trattamento dei dati, norme sulla riservatezza, divieto di accesso, obbligatori nei documenti programmatici della sicurezza o nei piani di gestione aziendale delle aziende? Chi assicura che quegli strumenti di information security ossia dell’insieme dei mezzi, delle tecnologie e delle procedure tesi alla protezione dei sistemi informatici in termini di disponibilità, confidenzialità e integrità dei beni o asset informatici, utilizzati dai lavoratori nelle proprie residenze?

La cybersecurity è la prassi di proteggere i sistemi, le reti e i programmi dagli attacchi digitali. Questi attacchi informatici sono solitamente finalizzati all’accesso, alla trasformazione o alla distruzione di informazioni sensibili, nonché all’estorsione di denaro agli utenti o all’interruzione dei normali processi aziendali. L’implementazione di misure di cybersecurity efficaci è particolarmente impegnativa oggi perché ci sono più dispositivi che persone e gli hacker stanno diventando sempre più innovativi.

L’80% dei piani di gestione aziendale non contemplano tutto ciò nel modello organizzativo o quanto meno in passato l’hanno fatto solo di riflesso o in modo molto superficiale poiché lo smart working è stato sempre e solo considerato come lo strumento per favorire la crescita produttiva.

Oggi il problema è diverso!.

Bisogna garantire il lavoro produttivo ma soprattutto la sicurezza aziendale poiché lo smart working non è più una semplice facoltà ma in molti casi nel corso del 2020 e del 2021 è stato un obbligo normativo chiaro e preciso sia per le aziende pubbliche che per le aziende private.

In tutto ciò la proliferazione di reati, di incapacità di controllo da parte dell’OdV sono aspetti non secondari del processo aziendale che meritano più che un richiamo normativo un forte adeguamento dei modelli organizzativi e di eliminazione delle criticità. Il rischio è appunto anche la proliferazione di reati e di rischi di contaminazione dei dati aziendali.

Si intrecciano due tematiche, il trattamento dei dati più o meno sensibili e la gestione del modello organizzativo.

Potremmo far richiamo alle norme comportamentali previste dal codice etico aziendale o a quelle dei dipendenti della PA ma in questi casi siamo in presenza di una distorsione del sistema che il legislatore non ha mai sanato e che deve essere corretto dagli amministratori delle aziende e dagli OdV.

Gli utenti-lavoratori in smart working devono comprendere e rispettare i principi di sicurezza dei dati di base, come scegliere password complesse anche nel PC di casa, diffidare degli allegati nelle e-mail quando accedono dalla postazione privata e eseguire il backup dei dati. Le aziende devono avere un framework per il modo in cui trattano sia gli attacchi informatici tentati che quelli andati a buon fine. Un framework può essere utile ma esige un espansione anche alle postazioni private anche per le operazioni in remoto guidarti. La tecnologia adottata negli uffici deve trasferirsi nelle civili abitazioni (e già questo è un fatto anomalo) ma è essenziale per offrire alle aziende e agli individui gli strumenti di sicurezza informatici necessari per proteggersi dagli attacchi informatici. Tre entità principali devono essere protette: i dispositivi endpoint come computer, dispositivi intelligenti e router; nonché le reti e il cloud. La tecnologia comune utilizzata per proteggere queste entità include i firewall di nuova generazione, il filtro DNS, la protezione dal malware, il software antivirus e le soluzioni di sicurezza e-mail.

Nel corso degli ultimi 16/18 mesi gli OdV hanno dovuto prescrivere specifiche correzioni al modello organizzativo in tal senso e sensibilizzato alla specifica formazione del personale.

Ma vi e di piu!

L’emergenza covid in corso, anche legato allo smart working, ha determinato anche un aumento dei casi di insolvenza delle imprese, con il rischio che i vertici dell’assetto aziendale assumano decisioni poco trasparenti al fine di evitare e/o occultare lo stato di dissesto, comportando ciò un comportamento illecito. Le imprese non si limitato così ad un semplice inadempimento contrattuale, ma in una vera e propria condotta penalmente rilevante di false comunicazioni sociali, ovvero in un’ipotesi sanzionata dal D. Lgs. n. 74/2000 o addirittura di bancarotta. Non a caso il legislatore a più riprese con  l’art. 10 del D.L. n. 23/2020, c.d. Decreto liquidità, ha impedito di dichiarare il fallimento di un’impresa fino alla data del 30 giugno 2020 e dal successivo mese di luglio le società sono tornate ad essere “fallibili” secondo la normativa di cui al R.D. n. 267/1942, avendo l’art. 5 del citato Decreto Liquidità rinviato al 01.09.2021 l’entrata in vigore del nuovo Codice della crisi d’impresa. Il timore che è ancora attuale è che le società possano aver adottato, come in alcuni casi è successo comportamenti e/o decisioni anche penalmente rilevanti volte a evitare e/o occultare il dissesto. E di fronte a ciò i modelli organizzativi si sono trovati spesso incompleti e gli OdV incapaci di fronteggiare con immediatezza la problematica apportando i necessari correttivi.

In sostanza e per concludere l’adozione del MOG quanto l’istituzione dell’Organismo di Vigilanza, non costituiscono un obbligo di legge che, piuttosto, lascia liberi gli enti destinatari del Decreto se adottare o meno il sistema di prevenzione 231 ma è un sano impegno della società che si premunisce degli strumenti necessari ai fini dell’attivazione dell’esimente di cui, appunto, all’art. 6 del Decreto e l’aumento esponenziale dei reati presupposto della responsabilità dell’ente, la pandemia e l’utilizzo di strumenti di lavoro nuovi rispetto al passato (smart working in testa) hanno  modificato sensibilmente l’approccio delle aziende verso il MOG mettendo a dura prova anche l’attività di vigilanza effettuata dall’Organismo di Vigilanza.

È necessario dunque rimediare subito al problema per alzare una solida barriera contro l’ipotesi di nuove responsabilità anche penale dei membri dell’OdV per omesso impedimento di tali reati e l’insufficiente vigilanza da parte dell’organismo potrebbe condurre a fondare la responsabilità della società.

Riflessioni conclusive

Si suggeriscono pertanto prassi operative nuove per una ridefinizione dei processi che gli organismi di controllo societario sono tenuti a compiere a causa dell’emergenza Covid-19. L’Organismo di Vigilanza deve interfacciarsi con l’organismo di gestione della società per valutare la tenuta del modello 231 ed eventualmente sollecitarne il tempestivo adeguamento. L’Amministrazione deve fornire al contempo indicazioni operative sollecitando all’OdV, in primis, di verbalizzare l’attività di monitoraggio (precisando le modalità di estrinsecazione dello smart working ma anche delle videoconferenza, ecc.) e di comunicare senza indugio all’organo amministrativo le non conformità rilevate, così da effettuare un tempestivo intervento. L’OdV dunque deve compiere le attività di monitoraggio e controllo adottando modalità di lavoro agile in smart working.

Consigliamo il volume:

Avv. Frank Mario Santacroce

Scrivi un commento

Accedi per poter inserire un commento