La legge 18 marzo 2008, n. 48 recante “Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno” ha inserito nel D. lgs. n. 231/2001 (nel seguito anche solo Decreto) l’articolo 24 bis, così estendendo la responsabilità amministrativa degli enti anche a “Delitti informatici e trattamento illecito di dati”, in coerenza con i profondi cambiamenti dipendenti dalla tecnologia digitale e dalla sua rapida evoluzione, nonché dalla convergenza e costante globalizzazione delle reti informatiche.
I nuovi reati presupposto in tema di criminalità informatica, alcuni dei quali già esistenti nel nostro codice penale, altri riformulati e altri ancora introdotti ex novo dalla l. 48/2008, sono i seguenti:
– Art. 491 bis – Falsità in Documenti informatici;
– Art. 615 ter – Accesso abusivo ad un sistema informatico o telematico;
– Art. 615 quater – Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
– Art. 615 quinquies – Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;
– Art. 617 quater – Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;
– Art. 617 quinquies – Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche;
– Art. 635 bis – Danneggiamento di informazioni, dati e programmi informatici;
– Art. 635 ter – Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità;
– Art. 635 quater – Danneggiamento di sistemi informatici o telematici;
– Art. 635 quinquies – Danneggiamento di sistemi informatici o telematici di pubblica utilità;
– Art. 640 quinquies – Frode informatica del soggetto che presta servizi di certificazione di firma elettronica.
E’ finalizzato alla lotta alla criminalità informatica pure l’art. 640 ter – Frode informatica – presente nel Decreto sin dalla sua emanazione all’art. 24 in tema di reati contro la Pubblica Amministrazione.
Ad oggi, come già affermato in precedenti articoli, anche al fine di non incorrere nella responsabilità amministrativa, un ente (con tale intendendo enti forniti di personalità giuridica, società e associazioni anche prive di personalità giuridica) deve dotarsi di un Modello capace di rendere il più efficiente possibile la propria organizzazione, attraverso la gestione del rischio e il controllo dello stesso. E’ bene ricordare che l’ente può essere chiamato a rispondere della responsabilità in oggetto solo se colui che commette uno dei reati presupposto elencati dal Decreto sia un suo soggetto apicale o un suo soggetto sottoposto e sempre che il fatto illecito apporti all’ente un interesse o un vantaggio.
Il Modello deve dunque essere in grado di tutelare l’ente anche dalla commissione dei reati informatici; si riportano nel prosieguo alcune definizioni utili alla comprensione del tema:
- Il Reato Informatico è definibile come la condotta antigiuridica concernente l’elaborazione automatica e la trasmissione dei dati, ovvero l’illecito che vede il computer come l’oggetto, il mezzo o il simbolo dello stesso.
- Il Sistema Informatico (SI) è rappresentabile come un insieme di elementi interconnessi o collegati che permettono di raccogliere, archiviare, cercare, elaborare e distribuire dati, trasformandoli in informazioni utili per supportare le attività decisionali e di controllo di un ente; esso è composto da risorse tecnologiche e organizzative e dal parco delle applicazioni e deve consentire lo svolgimento di tre macro processi fondamentali: (1)processo di input (acquisizione dati), (2)processo di elaborazione (trasformazione dei dati), (3) processo di output (restituzione di informazioni). Obiettivo del SI è quello di rendere più efficienti i processi aziendali, supportandone le varie fasi e fornendo gli strumenti per pianificare le attività, simulare scenari, monitorare la dinamica del sistema oggetto di osservazione, registrare i risultati raggiunti, richiamare l’attenzione sui problemi, valutare la situazione e prendere le decisioni migliori.
- L’Organizzazione è il processo attraverso il quale l’insieme di persone, che partecipano direttamente all’attività dell’ente, viene strutturato secondo i principi di coordinamento e divisione del lavoro, in modo da acquisire una struttura e diventare un sistema.
- Il documento informatico è la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti, ossia qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli.
- L’IT, acronimo di Information Technology, indica l’uso della tecnologia nella gestione e nel trattamento dell’informazione. L’IT riguarda l’uso di apparecchi digitali e di software che consentono di creare, memorizzare, scambiare e utilizzare informazioni nei più disparati formati.
Nel proprio Modello, l’ente deve fissare una serie di principi, progettare delle procedure e implementare dei sistemi avendo come obiettivo finale la protezione e alla sicurezza del proprio SI; nel fare ciò l’ente deve avere un particolare riguardo all’intero flusso comunicativo e informativo che ruota attorno a tutta la struttura aziendale, compresi anche informazioni e documenti in ingresso e in uscita e puntando al raggiungimento dell’equilibrio tra la necessità di garantire la facilità di utilizzo delle risorse dell’organizzazione e la necessità di controllare l’accesso alle stesse. Dovranno a tal fine essere analizzate tutte le attività e i processi supportati dal SI e telematici per l’elaborazione e la trasmissione di dati contabili, fiscali e gestionali o di altra natura che costituiscono un potenziale terreno fertile per la commissione dei reati presupposto in precedenza elencati.
La progettazione e lo sviluppo di un Modello idoneo ed efficace ai fini sopra descritti prevedono le seguenti fasi di lavoro:
(a) Pianificazione e ricognizione di tutti gli elementi dell’IT potenzialmente collegabili al rischio di reati informatici, inclusi i sistemi, le reti, le applicazioni e i dati. La valutazione delle risorse e degli elementi deve essere svolta in termini quantitativi e qualitativi tali da consentire la corretta pianificazione di misure di protezione.
(b) Valutazione del livello di rischio associato agli elementi dell’IT.
(c) Valutazione delle procedure e dei sistemi di controllo e di sicurezza adottati dall’ente, anche tramite delle fasi di test della loro operatività.
(d) Analisi delle lacune, dei malfunzionamenti e delle inefficienze esistenti.
(e) Predisposizione dei principi di riferimento nella gestione dell’IT, quali la riservatezza delle informazioni, l’integrità delle stesse, l’autenticazione e l’autorizzazione degli utenti.
(f) Implementazione di software o hardware, definizione di criteri organizzativi e progettazione di un sistema in base ai risultati delle fasi precedenti con l’obiettivo di migliorare la gestione dell’ente e di prevenire la commissione dei reati informatici.
Durante la creazione e lo sviluppo di un Modello idoneo alla struttura, alla natura e alle dimensioni dell’ente, occorre prevedere – o se già esistente verificare e migliorare – un sistema di autorizzazioni e di deleghe, partendo dal principio della separazione dei compiti per ciascuna delle attività dei singoli processi. Le attività dell’ente devono poi essere adeguatamente documentate, anche per il mezzo di supporti e strumenti informatici, al fine di renderle tracciabili e in modo tale da facilitarne i controlli sia sui contenuti e sulle modalità, sia sui soggetti che le hanno ideate, ordinate, eseguite, o verificate; il tutto ovviamente nel rispetto della riservatezza. L’ente deve in particolare porre attenzione affinché nelle procedure riguardanti il processo di gestione dei sistemi informativi – e tutte le attività ad esso collegate – siano ben definite e controllate le responsabilità delle funzioni relative all’IT. Risulta dunque fondamentale dotarsi sia di strumenti e meccanismi che permettano di evitare la perdita, la modifica accidentale o l’alterazione di dati e informazioni relative all’attività dell’ente, sia di strumenti di gestione che ne mantengano la stabilità temporale e l’integrità complessiva.
Alla luce del breve e non esaustivo articolo, appare evidente come l’introduzione tra i reati presupposto dei crimini informatici ha contribuito ad aumentare la complessità del Modello organizzativo consigliato dal Decreto. I reati in oggetto, ad un primo e frettoloso esame, possono sembrare remoti, difficilmente commissibili nelle comuni realtà imprenditoriali, salvo il caso, ovviamente, di enti aventi come oggetto sociale attività strettamente collegate o connesse con il mondo dell’IT. In realtà, si rischia di commettere un reato informatico, sensibile pure ai fini dell’attivazione della responsabilità amministrativa, anche falsificando un documento, o "manomettendo" un bando del Comune o ancora riportando, in sede di dichiarazione dei redditi compilata on line, delle informazioni non rispondenti al vero. Come notato sin dall’entrata in vigore del Decreto, la volontà del legislatore è quella di aumentare il raggio di azione della responsabilità amministrativa, unica forma di punizione per le persone giuridiche, che si manifesta per il tramite di sanzioni pecuniarie o interdittive. E, considerato il numero e la varietà di fattispecie delittuose ad oggi richiamate nel Decreto, è sempre più consigliabile affidare la progettazione e lo sviluppo del proprio Modello a consulenti esterni, specialisti della materia, in grado di dare dei consigli mirati, capaci anche di diffondere una cultura alla legalità di impresa.
di Giulia Sabato
collaboratrice esterna Digital&Law Department – Studio Legale Lisi
Scrivi un commento
Accedi per poter inserire un commento