Parte oggi la nuova rubrica #DigitalCrime, a cura di Paolo Galdieri, Avvocato e Docente di Informatica giuridica, alla LUISS di Roma.
ICT Crime ed ICT Security sono due termini che da anni vanno a braccetto, nel senso che in tutti i settori, e soprattutto nelle aziende, vi è la consapevolezza che il contrasto ai reati informatici può avvenire solo attraverso adeguate contromisure tecnologiche.
La stessa Unione Europea, sebbene in ritardo rispetto agli Stati Uniti ed al Giappone, nel febbraio del 2013 ha finalmente promulgato un documento di impostazione strategica con il quale l’Europa esprime una visione unitaria sul tema della cyber sicurezza, tracciando importanti linee guida comuni per il contrasto alla criminalità informatica.
Il Rapporto Clusit del 2014 sottolinea come, nonostante il momento di crisi che attraversa il nostro paese, il mercato della sicurezza ICT conferma nel 2013 e nell’inizio del 2014 un trend, seppur minimo, di crescita.
La sensibilità al tema della sicurezza fa sì che la maggior parte delle aziende si concentri sul risk assessment e sul penetration test e sulle attività di implementazione ed evoluzione del sistema di gestione della sicurezza, che tiene ovviamente conto dei nuovi pericoli rappresentati dagli attacchi perpetrati ai sistemi cloud e social network. Particolare attenzione viene anche prestata ad una valutazione dei rapporti fra azienda e propri fornitori-outsourcer in quanto si è visto come molti attacchi si realizzano ai danni di questi ultimi, considerati un anello più debole da colpire.
Le stesse aziende, tuttavia, non paiono ancora essere sensibili al tema della cosiddetta protezione giuridica ovvero, raramente, attuano strategie per evitare un coinvolgimento qualora un reato informatico, malgrado la predisposizione delle contromisure tecnologiche, venga comunque realizzato al loro interno.
Tale atteggiamento è invero assai rischioso considerato che, secondo la Legge 18 marzo 2008 n. 48, che ha ratificato la Convenzione di Budapest sulla criminalità informatica, le aziende possono essere chiamate a rispondere, all’interno di un processo penale, del reato informatico commesso dai vertici e dai dipendenti, sulla base di quanto stabilito dal D. Lgs. 231/2001.
Sulla base di tale novità normativa, le imprese potrebbero incorrere in pesanti sanzioni pecuniarie e devastanti sanzioni interdittive (l’interdizione dall’esercizio dell’attività, la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito, il divieto di contrattare con le Pubbliche Amministrazioni, salvo per ottenere le prestazioni di un pubblico servizio; l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi; il divieto di pubblicizzare beni o servizi).
Ecco perché le imprese devono necessariamente studiare delle strategie per evitare un coinvolgimento che inciderebbe sull’intero comparto produttivo.
La soluzione strategica del problema è invero fornita dallo stesso D. Lgs. 231/01, che all’art. 6, prevede un esonero di responsabilità allorquando l’organo dirigente dell’ente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi.
Affinché le aziende apprestino un’effettiva tutela rispetto alle continue minacce rappresentate dalla criminalità informatica è, quindi, fondamentale assimilare il concetto di protezione giudica da affiancare a quello, già conosciuto, di sicurezza informatica.
Solo attraverso questo vero e proprio cambio di impostazione “culturale” sarà possibile considerare la predisposizione dei modelli un’opportunità e non, come accade oggi, un ulteriore costo evitabile dall’impresa.
A tal riguardo si rifletta come la predisposizione di un adeguato modello, oltre ad assicurare l’azienda contro le sanzioni, consente di prevenire irregolarità rispetto al diritto del lavoro, danni al patrimonio aziendale e all’immagine. Consente altresì di concorrere a determinate gare d’appalto che considerano l’adozione del modello un requisito di accesso.
Non di meno conto sono i vantaggi indiretti poiché la redazione del modello comporta necessariamente un’analisi e un’ottimizzazione dei processi, che permette tra l’altro di scoprire eventuali inefficienze, evidenziando opportunità di miglioramento.