A seguito delle modifiche apportate al Decreto legislativo 231/2001 dalla Legge 48/2008, si prevede un esonero della responsabilità dell’azienda per reato informatico (art.24 bis) commesso al suo interno da un vertice o dipendente – quando lo stesso sia realizzato nel suo interesse o l’impresa ne abbia tratto un vantaggio -, esclusivamente allorché si dimostri che l’organo dirigente dell’Ente ha adottato ed efficacemente attuato, prima della commissione del fatto, un modello organizzativo idoneo a prevenire reati della specie di quello verificatosi (art. 6 decreto legislativo 231/2001).
La rubrica #DigitalCrime, a cura di Paolo Galdieri, Avvocato e Docente di Informatica giuridica, alla LUISS di Roma, si occupa del cybercrime dal punto di vista normativo e legale.Clicca qui per leggere tutti i contributi.
L’azienda che volesse, quindi, garantirsi l’impunità dovrà procedere diversamente a seconda che già abbia predisposto un modello, senza tuttavia prevedere i reati informatici, o che ne sia totalmente sprovvista. Nel primo caso, dovrà limitarsi ad aggiungere una nuova parte specificatamente riferita ai delitti in questione, svolgendo valutazioni preliminari, tali da garantire una coerenza con la parte generale del modello e delle parti riferite ad altri reati, nonché analizzare preventivamente i documenti relativi all’uso delle tecnologie. Nella seconda ipotesi, nel predisporre ex novo il documento, dovrà prevedere un’apposita sezione relativa ai delitti informatici, tenendo conto delle specifiche questioni poste dagli stessi.
A scanso di equivoci occorre evidenziare che l’esonero di responsabilità non trova giustificazione alcuna nell’eventuale adozione di un codice etico, in quanto quest’ultimo rappresenta uno strumento adottato in via autonoma allo scopo di esprimere dei principi di deontologia aziendale, mentre il documento del quale stiamo parlando risponde a specifiche prescrizioni contenute nel Decreto finalizzate a prevenire la commissione di particolari tipologie di reato.
Il modello, o meglio la parte di esso relativa ai reati informatici, deve soddisfare diverse esigenze e segnatamente: individuare le attività nel cui ambito esiste la possibilità che vengano commessi reati previsti dal Decreto; prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’Ente in relazione ai reati da prevenire; individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di tali reati; prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza del modello; introdurre un sistema disciplinare interno idoneo a sanzionare il mancato rispetto delle misure indicate.
Sotto il profilo formale il modello deve prevedere al suo interno la descrizione delle aree di rischio e dei reati informatici in ipotesi realizzabili, l’individuazione delle regole di comportamento e dei relativi destinatari, i principi procedurali specifici ed i compiti dell’organismo di vigilanza.
Nella parte riservata alle aree a rischio occorre precisare tutte le attività aziendali svolte tramite l’utilizzo dei sistemi informativi aziendali, del servizio di posta elettronica e dell’accesso ad internet. Si deve altresì indicare l’evoluzione della piattaforma tecnologica, nonché la gestione dei flussi informativi elettronici con la pubblica amministrazione, l’impiego di software e banche dati, la gestione dei contenuti del sito internet della società.
Successivamente occorre individuare tutti i reati che potrebbero realizzarsi negli ambiti evidenziati. Ad esempio l’accesso abusivo ai sistemi informatici di proprietà di terzi, per prendere cognizione di dati riservati altrui nell’ambito di una negoziazione commerciale o il danneggiamento di dati attraverso l’eliminazione o l’alterazione dei file o di un programma informatico, che siano poste in essere al fine di far venir meno la prova del credito da parte di un fornitore della società.
Devono poi essere inserite le regole di comportamento ed i relativi destinatari con richiamo ad altri documenti tra i quali: il codice etico; l’organigramma aziendale e gli schemi organizzativi; le linee guida “Information Security Policy”; le raccolte di policy e procedure per la sicurezza delle informazioni; la gestione dei siti internet; l’istruzione operativa sui controlli e modalità di accesso ai siti aziendali.
In tale ambito sono altresì indicati divieti specifici relativi alla connessione ai sistemi della società senza preventiva autorizzazione, alla modifica della configurazione software e/o hardware, alla divulgazione delle proprie credenziali di accesso a sistemi e alla rete aziendale, ecc.
Per avvalorare la tesi secondo cui l’impresa ha fatto tutto il possibile per impedire la perpetrazione dei reati può essere utile svolgere, parallelamente, una serie di attività da inserire all’interno del modello. Da questo punto di vista di grande utilità è la realizzazione di corsi di formazione specifici, idonei a dimostrare la volontà di sensibilizzare il personale, e l’adozione di un codice di comportamento informatico, i cui principi fondamentali potrebbero essere inseriti nel contratto di lavoro.
Al fine di dimostrare che l’azienda si è mossa realmente per impedire la commissione dei reati occorre che vengano previsti una serie di impegni da parte della stessa tra cui quello di informare i soggetti che operano nell’impresa: dell’importanza di non divulgare le proprie credenziali; di utilizzare correttamente i software e le banche dati in dotazione; di non inserire dati o immagini coperte dal diritto d’autore senza autorizzazione; di proteggere i collegamenti wireless; di limitare l’accesso alla rete informatica aziendale dall’esterno.
La stessa impresa deve prevedere controlli attraverso l’istituzione di una struttura con il compito di: monitorare lo stato della sicurezza operativa delle varie piattaforme ICT di processo e gestionali della società; monitorare i sistemi anti-intrusione e di controllo degli accessi ai siti aziendali; gestire progressivamente l’intero processo di identificazione ed autorizzazione all’accesso alle risorse ICT aziendali.
Sempre al fine di dimostrare che il modello organizzativo svolga una funzione concreta, e non solo sulla carta, devono essere specificati i compiti dell’organismo di vigilanza ovvero quello di: svolgere verifiche periodiche sul rispetto del modello e valutare periodicamente la loro efficacia a prevenire la commissione dei reati; proporre e collaborare alla predisposizione delle istruzioni standardizzate relative ai comportamenti da seguire nell’ambito delle aree a rischio individuate; esaminare eventuali segnalazioni di presunte violazioni ed effettuare gli accertamenti ritenuti necessari od opportuni in relazione alle segnalazioni ricevute.
Perché l’organismo di vigilanza assolva correttamente ai suoi compiti è necessario un periodico reporting nei confronti degli organi societari, nonché una comunicazione continuativa con l’amministratore delegato, il comitato di controllo interno, il consiglio d’amministrazione ed il collegio sindacale.
L’adozione di un modello organizzativo, benché non obbligatoria, rappresenta l’unico modo per evitare che l’azienda, a seguito di reato commesso da un suo vertice o dipendente, incorra, oltre che in pesanti sanzioni pecuniarie – nonché confisca dei beni informatici e pubblicazione della sentenza – in sanzioni interdittive estremamente pesanti quali: l’interdizione dall’esercizio dell’attività, la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; l’esclusione di agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi;il divieto di pubblicizzare beni o servizi.