Home » News » Attualità

IFI Advisory: Cybersecurity e responsabilità da reato degli enti

di Redazione - 30 Ottobre 2020
IFI Advisory: Cybersecurity e responsabilità da reato degli enti

IFI Advisory, società di intelligence e risk management, nello strutturato articolo che segue, a cura di Angelo Russo, Compliance Manager e DPO, approfondisce il tema relativo allaCybersecurity e responsabilità da reato degli enti: strumenti organizzativi di prevenzione”.

Buona lettura!

la Redazione

CYBERSECURITY E RESPONSABILITÀ DA REATO DEGLI ENTI: STRUMENTI ORGANIZZATIVI DI PREVENZIONE

Il crimine informatico rappresenta oggi una delle grandi minacce per l’intero sistema economico internazionale, suscettibile di interessare indifferentemente Enti pubblici, Società e privati cittadini. Si stima in sei trilioni di dollari il costo annuo legato alle conseguenze dei reati informatici perpetrati a livello globale.

Perfino grandi multinazionali come Yahoo hanno subito ingenti danni dai cyber attacchi; nel solo biennio  2012-2014, gli hackers hanno ottenuto le credenziali di accesso per 3 miliardi di utenti di Yahoo. Il “data breach” includeva nomi, passwords e risposte alle domande di sicurezza di utenti.

In Italia, la disciplina normativa in tema di sicurezza informatica è composta da un dettagliato impianto regolamentare, rivolto a tutti gli operatori e, in particolare, a quelli attivi nei settori dei servizi strategici, che sono tenuti a considerare con attenzione, sin dall’inizio della propria attività, le possibili sanzioni civili, penali, amministrative e di natura reputazionale, derivanti da una non conformità nella gestione del rischio cyber.

Dunque, nell’ipotesi in cui l’impresa subisca un cyber attacco, alle conseguenze penali a carico del personale imputato per i suddetti reati (per condotte commissive/omissive e a titolo doloso/colposo), si affiancano in primo luogo sanzioni di natura pecuniaria e interdittiva a carico dell’impresa stessa.

In particolare, l’articolo 24-bis del D.lgs. 231/2001 ha esteso la responsabilità amministrativa delle persone giuridiche e degli enti all’ipotesi in cui un rappresentante/dipendente dell’ente ponga in essere un reato “informatico” con riferimento a fattispecie quali l’Art. 615 ter c.p.  (Accesso abusivo ad un sistema informatico o telematico), l’Art. 635 bis c.p. (Danneggiamento di informazioni, dati e programmi informatici) ovvero l’Art. 635 quater c.p. (Danneggiamento di sistemi informatici o telematici).

Le differenti tipologie di reato informatico si riferiscono a una molteplicità di condotte criminose in cui un sistema informatico risulta, in alcuni casi, obiettivo stesso della condotta e, in altri, lo strumento attraverso cui l’autore intende realizzare altre fattispecie penalmente rilevanti, per interesse e/o vantaggio (inteso anche come “risparmio”) dell’impresa.

La tutela della sicurezza informatica trova dei punti di naturale connessione con la normativa europea in materia di tutela dei dati personali di cui al Regolamento UE 679/2016 (“GDPR”); focal point del GDPR risiede nella prevenzione e nell’adozione di misure efficaci di protezione dei dati personali, soprattutto nei sistemi informatici.

A tal fine, il GDPR prevede una disciplina sanzionatoria particolarmente severa, nell’ipotesi di una non-conformità ovvero di un “data breach”, da parte del titolare del trattamento; in tema di responsabilità civile, l’art. 82 del GDPR, prevede che: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento»; inoltre l’art. 83 del GDPR, prevede sanzioni fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo nel caso di non conformità accertate.

È evidente come la compliance tratti i rischi in ambito “cyber” da una duplice (peculiare) prospettiva, in quanto analizza da un lato i rischi esogeni (connessi ad un possibile cyber attacco), dall’altro i rischio endogeni, legati a possibili accessi non autorizzati al sistema informatico da parte di soggetti interni all’impresa.

L’ente dovrà dunque accertare (e poter dimostrare in ogni momento) il proprio status in tema di Cyber Security con riferimento a:

a. Realizzazione di uno screening aziendale dei rischi informatici, al fine di identificare eventuali vulnerabilità e fragilità dei sistemi.a
b. Formazione e sensibilizzazione dei lavoratori
c. Protezione delle attività on-line dei lavoratori (es. tramite meccanismi di protezione da softwares pericolosi).
d. Backup di informazioni e software.
e. Verifica dei logs di sistema che registrano le attività degli utilizzatori.
f. Realizzazione di vulnerability assessment e penetration test, per “fotografare” lo status di tenuta del sistema informatico aziendale, rispetto a eventuali attacchi esterni.

A monte della separazione dei processi è dunque necessario mappare i processi aziendali, al fine di individuare le attività a rischio “reato informatico”, come richiesto dall’art. 6 comma 2 del Dlgs. 231/2001 e ridurre la possibilità che un soggetto possa svolgere più parti essenziali di un processo informatico, realizzando una distinzione organizzativa basata su una suddvisione dei ruoli informatici, tenendo presente che la funzione di IT Auditing debba necessariamente essere collocata all’esterno della funzione IT e dell’Organismo di Vigilanza e alle dirette dipendenze della Direzione Generale/Direzione Auditing.

Ifi Advisory

In passato, l’orientamento dottrinale maggioritario riteneva che il dato informatico non possedesse i caratteri della fisicità propri della “cosa mobile”.

Logica conseguenza di tale tesi era l’assenza di un coinvolgimento definito della funzione security nelle attività di controllo del sistema informatico, in quanto funzione prettamente dedicata alla tutela di assets di natura “materiale”.

Tuttavia tale orientamento è stato ribaltato da una recente sentenza della Corte di Cassazione (Cass. Pen. n. 11959/2020) che ha qualificato il “dato informatico” quale bene suscettibile di appropriazione indebita ex art. 646 c.p.; la vicenda in esame riguardava le condotte poste in essere da un dipendente, che aveva restituito il notebook aziendale dopo aver formattato l’hard disk ed essersi impossessato illecitamente dei dati ivi contenuti.

Secondo la Suprema Corte, una più accorta analisi della nozione scientifica del dati informatico conduce alla conclusione che lo stesso possa esser qualificato quale “cosa mobile”, suscettibile di divenire l’oggetto materiale delle condotte di reato, in quanto il dato può essere oggetto di diritti penalmente tutelati e possiede tutti i requisiti della mobilità della cosa.

Questa nuova considerazione del dato informatico dovrebbe rendere le imprese consapevoli dell’opportunità di coinvolgere maggiormente la funzione security nelle attività di controllo e prevenzione rispetto alla tutela della sicurezza informatica aziendale, alla stregua di quanto previsto per tutti gli assets materiali, oggetto di tutela da parte della funzione security.

L’opportunità della separazione dei processi trova riscontro anche all’interno delle Linee Guida di Confindustria sul D.lgs. 231/2001 (Parte Speciale), secondo cui il sistema di controllo per la prevenzione dei reati di criminalità informatica dovrà basarsi su principi di controllo quali la “separazione dei ruoli che intervengono nelle attività chiave dei processi operativi esposti a rischio, la tracciabilità degli accessi e delle attività svolte sui sistemi informatici che supportano i processi esposti a rischio e le procedure e livelli autorizzativi da associarsi alle attività critiche dei processi operativi esposti a rischio, la raccolta, analisi e gestione di segnalazioni di fattispecie a rischio di reati informatici rilevati da soggetti interni e esterni all’ente, le procedure di escalation per la gestione di fattispecie a rischio di reato caratterizzate da elevata criticità e nella gestione dei rapporti con gli enti istituzionali” come confermato dalla circolare della Guardia di finanza n. 83607/2012 secondo cui “la polizia giudiziaria dovrà verificare che i processi a rischio siano presidiati da una adeguata separazione dei compiti, impedendo che un’unica funzione possieda capacità decisionale autonoma in ordine ai processi a rischio”.

Infine, la separazione dei compiti assume importanza anche ai fini della certificazione ISO 27001, che prevede, al par. A.10.1.3, la necessità di implementare effettivamente “una segregazione dei compiti nello svolgimento delle attività operative, in coerenza con la separazione organizzativa dei compiti. Il personale che opera all’interno del sistema di conservazione non ha privilegi amministrativi nei sistemi, ad eccezione del ristretto personale autorizzato.”

L’impatto potenzialmente devastante di una minaccia informatica impone alle imprese di evitare una concezione delle misure di cyber security come meri ostacoli burocratici alla crescita aziendale, cogliendo piuttosto quei vantaggi, in termini di affidabilità e sicurezza derivanti da una “cyber compliance” idonea a prevenire cyber attacchi e/o garantire la sopravvivenza dell’ente rispetto a possibili sanzioni derivanti da una non conformità, rilevando i costi normalmente sostenuti dalle aziende per il monitoraggio e l’attuazione delle misure di cyber security, alla stregua di un vero e proprio “investimento” sulla resilienza del sistema informatico aziendale.

a cura di Angelo Russo,
Compliance Manager e DPO di IFI Advisory

#Cybersecurity#Governo del Rischio#Ifi Advisory
Condividi questo articolo su:
Articoli correlati
Attualità

Umberto Saccone al BTM 2022 su Sicurezza, Turismo e Terrorismo

Umberto Saccone è stato tra i relatori al BTM 2022, l’evento dedicato al Business Tourism Management che si è tenuto a Taranto dal 6 all’8 Aprile, presso il Circolo Ufficiali...
11 Aprile 2022 - Redazione
Attualità

Umberto Saccone: Criminalità, Sicurezza e Turismo

Umberto Saccone, Presidente di IFI Advisory e Referente Scientifico del Corso Executive “Security Risk Management” della Luiss Business School, relatore alla conferenza “Sicurezza fisica e sicurezza digitale nelle strutture ricettive”...
5 Aprile 2022 - Redazione
Attualità

BTM2022: Sicurezza fisica e sicurezza digitale nelle strutture ricettive

BTM 2022 è l’evento dedicato al Business Tourism Management che si tiene a Taranto dal 6 all’8 Aprile, presso il Circolo Ufficiali e Circolo Sottufficiali della Marina Militare. Tra le...
5 Aprile 2022 - Redazione
Altre news da: Attualità
Massimiliano Troilo General Manage Hikvision Italy BU Project
Attualità

HIKVISION, Troilo: la BU Project per i progetti di fascia alta

Evoluzioni in HIKVISION, con la nascita della BU Project, sviluppo della BU Solution, che punta in modo chiaro e determinato ai progetti di fascia alta, come ben spiega Massimiliano Troilo, General...
26 Luglio 2024 - Monica Bertolo
Ing. Cristina Andreoni CEO Elan Regolamento Prodotti da Costruzione (CPR)
Attualità

Il Regolamento Prodotti da Costruzione (CPR)

Cristina Andreoni, CEO ELAN, approfondisce l’argomento relativo al Regolamento Prodotti da Costruzione (CPR), con riferimenti specifici al settore dei CAVI. Andreoni specifica anche come ELAN abbia costantemente lavorato per rendere...
25 Luglio 2024 - Redazione
Ing. Dario Nolli consulente rivelazione automatica d'incendio Route EN 54
Attualità

Route EN 54 e l’apporto dell’ing. Nolli: norma UNI 9795 e TR 11924

Tra i relatori d’eccezione di Route EN 54, il seminario tecnico sull’Alta Formazione e le Soluzioni Innovative per la progettazione della sicurezza antincendio, l’ingegner Dario Nolli, Consulente di rivelazione automatica...
19 Luglio 2024 - Monica Bertolo

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.