☎ PARLA CON NOI

I reati informatici e la 231/01: la prevenzione

231 231/01 compliance cyber security Mar 28, 2023

Il D.lgs. 231/01 ha introdotto nel nostro ordinamento giuridico la responsabilità amministrativa degli Enti e delle Società per taluni reati (c.d. reati presupposto) commessi nel loro interesse o a loro vantaggio da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione, ovvero da persone sottoposte alla direzione e vigilanza di uno dei soggetti sopra indicati. Tale disposizione prevede, quindi, che tra l’autore materiale del reato e l’ente non debba necessariamente intercorrere un rapporto di lavoro subordinato, essendo la sottoposizione alla direzione rinvenibile anche nei rapporti con i collaboratori esterni o consulenti.

La precisazione sulla natura del rapporto che può comportare la responsabilità dell’Ente assume un significato ancora più pregnante a seguito dell’approvazione della l. 48/2008 che, ratificando la Convenzione di Budapest del Consiglio d’Europa sul cyber crime, ha inserito i reati informatici nel novero dei reati presupposto.

I reati informatici inseriti nel Decreto dalla novella normativa si possono distinguere in tre gruppi:

  • il primo gruppo comprende i reati che puniscono il danneggiamento di hardware, di software e di dati (artt. 615 ter, 617 quater, 617 quinquies, 635 bis, 635 ter, 635 quater e 635 quinquies c.p.): viene punito l’accesso abusivo ad un sistema e l’intercettazione o l’interruzione di dati compiuti attraverso l’installazione di appositi software o hardware e viene punita come aggravante la commissione degli stessi reati in sistemi informatici di pubblica utilità;
  • il secondo gruppo di reati è costituito dai reati che puniscono la detenzione e la diffusione di software e/o di attrezzature informatiche atte a consentire la commissione dei reati di cui alla precedente lett. a) (artt. 615 quater e 615 quinquies c.p.);
  • il terzo gruppo di reati comprende i reati con cui viene punita la violazione dell’integrità dei documenti informatici e della loro gestione attraverso la falsificazione di firma digitale (artt. 491 bis e 640 quinquies c.p.).

Tali reati sono spesso interconnessi tra loro e la prevenzione degli stessi è particolarmente difficile e complessa, soprattutto perché non necessitano di elaborati processi di gestione/organizzazione aziendale, né del coinvolgimento di un elevato numero di soggetti, atteso che, solitamente, l’attività fraudolenta è perpetrata da un singolo soggetto che sfrutta le proprie conoscenze informatiche e la larghezza delle maglie della rete di protezione cibernetica aziendale.

È noto che l’avvento della digitalizzazione ha modificato profondamente il mondo aziendale: l’inarrestabile diffusione di internet e delle nuove tecnologie ha imposto alle aziende un grado sempre più elevato di informatizzazione aziendale. Questo processo, volto a condizionare l’intera dimensione dell’impresa all’utilizzo di strumenti e sistemi informatici, è ormai divenuto condizione imprescindibile per ottimizzare l’organizzazione di diversi processi interni.

Il ricorso all’informatica ed al mondo virtuale rappresenta tuttavia un’“arma a doppio taglio” in quanto ha comportato non solo diversi effetti positivi, legati all’innegabile miglioramento del funzionamento di diverse aree di attività, ma anche un significativo innalzamento del rischio di commissione di comportamenti illeciti all’interno del contesto aziendale, dovuto al fatto che il sistema di protezione cyber non è sempre implementato alla stessa velocità, frequenza e grado rispetto all’informatizzazione dei processi produttivi. Il massiccio trasferimento della criminalità on-line ha fatto sì che ormai i digital crimes non costituiscano più solamente una minaccia interna al perimetro aziendale, ma colpiscano anche – anzi soprattutto – dall’esterno le società, attraverso attacchi cyber e data breach. Con il proliferare di episodi di violazione dei sistemi informativi aziendali perpetrati da parte di hacker anonimi sempre più esperti, i vertici aziendali hanno dovuto prendere coscienza della necessità di provvedere non solo alla difesa della rete aziendale interna, ma anche ad un’azione di tutela rivolta verso l’esterno.

Sappiamo che il legislatore ha previsto la possibilità per gli Enti di esimersi dalla responsabilità o di attenuare le conseguenze derivanti dalla commissione di un “reato presupposto”, adottando un modello organizzativo contenente linee guida e protocolli volti alla prevenzione dei suddetti reati. Nell’ambito dell’attività di predisposizione del Modello 231, la gestione dei rischi legati al mondo dell’informatica si fonda principalmente su tre pilastri:

  1.  Prevenzione
  2.  Controlli
  3.  Formazione

La prevenzione

Il primo pilastro viene normalmente attuato attraverso la previsione di specifiche misure di sicurezza volte a ridurre la possibilità che vengano commessi reati all’interno della rete aziendale; il secondo attraverso l’introduzione di presìdi di controllo ad hoc, finalizzati a supervisionare la gestione ed il funzionamento dei diversi ambiti aziendali condizionati dall’uso di internet e di device tecnologici e l’ultimo consiste nella diffusione di una cultura aziendale in materia informatica attraverso la formazione del personale e la responsabilizzazione di alcune figure.

Oggi ci occuperemo del primo dei tre pilastri, rinviando la trattazione degli altri due ai successivi articoli.

A livello di prevenzione, è importante che ogni azienda si doti di apposite regole comportamentali e di sicurezza per gli utenti sia interni che esterni.

Quanto agli utenti interni risulta fondamentale innanzitutto definire i livelli di accesso in base alla confidenzialità delle informazioni ed alla responsabilità di ogni soggetto. Si tratta, in particolare, di adottare una policy di sicurezza del sistema informatico (ICS policy), che regolamenti in maniera strutturata l’accesso ai documenti ed alle informazioni aziendali ed il loro utilizzo. Al fine di garantire la correttezza e la sicurezza dell’operatività dei sistemi informativi interni, ogni azienda dovrebbe provvedere all’adozione di un’ICS policy inserendovi quanto meno le seguenti previsioni:

  • la protezione da software pericoloso ricorrendo all’uso di antivirus ed al loro monitoraggio/aggiornamento costante;
  • i back-up periodici delle informazioni in possesso all’azienda e dei software dalla stessa utilizzati;
  • la protezione dello scambio di informazioni attraverso l’uso di tutti i tipi di strumenti per la comunicazione anche con terzi (ad esempio regolamentando l’uso di dispositivi removibili quali USB); la tracciatura delle attività eseguite sulle applicazioni, sui sistemi e sulle reti e la protezione di tali informazioni contro accessi non autorizzati;
  • la verifica periodica dei log che registrano le attività degli utilizzatori, le eccezioni e gli eventi concernenti la sicurezza; l’accesso ai servizi di rete esclusivamente da parte degli utenti che sono stati specificatamente autorizzati e le restrizioni della capacità degli utenti di connettersi alla rete;
  • la rivisitazione dei diritti di accesso agli utenti ad intervalli di tempo predefiniti ed in caso di cambiamento del rapporto che attribuiva loro il diritto di accesso;
  • il rinnovo periodico delle credenziali degli utenti; la segmentazione della rete affinché sia possibile assicurare che le connessioni e i flussi di informazioni non violino le norme di controllo degli accessi delle applicazioni aziendali;
  • la chiusura di sessioni inattive dopo un predefinito periodo di tempo; la custodia dei dispostivi di memorizzazione (quali, ad esempio, chiavi USB, CD, hard disk esterni, ecc.) e l’adozione di regole di clear screen per gli elaboratori utilizzati;
  • l’implementazione e lo sviluppo sull’uso dei controlli crittografici per la protezione delle informazioni e sui meccanismi di gestione delle chiavi crittografiche;
  • l’esecuzione periodica di test di sicurezza informatica come presidio contro le minacce cyber.

Con riferimento ai casi di accesso da parte di utenti esterni, per tutelare la realtà aziendale risulta utile prevedere ad esempio la richiesta di abilitazione preventiva da parte del responsabile della funzione aziendale competente con la quale la terza parte dovrà interagire, la costruzione di una rete per soggetti terzi diversa da quella accessibile al personale aziendale, oltre che applicare – come detto – le procedure di sicurezza adottate con riferimento allo scambio di informazioni tramite strumenti di comunicazione quali USB o CD-ROM.

La prima Academy per diventare Cyber Legali

I Corsi e Master di CyberAcademy affrontano tutti i temi legati all'era digitale e alla sicurezza aziendale con i maggiori esperti del settore.

SCOPRI DI PIÙ

Iscriviti alla newsletter dei Cyber Legali

Riceverai la nostra newsletter settimanale con tutti i nostri nuovi articoli e webinar gratuiti.

CyberAcademy nasce da un’idea di Luisa Di Giacomo, Cyber avvocato, ed Enrico Amistadi, ingegnere informatico, per sviluppare competenze “orizzontali” e creare nuovi progetti per il vostro futuro lavorativo. Siamo Cyber Professionisti che credono nella collaborazione tra diverse professionalità e background.

© 2024 CyberAcademy Srl. Tutti i diritti riservati
P.IVA12739100019

PRIVACY POLICY

COOKIE POLICY

TERMINI E CONDIZIONI

FAQ