Home » News » Attualità

Reati Informatici e Responsabilità degli Enti: Privacy e Modelli 231

di Redazione - 23 Ottobre 2019
Reati Informatici e Responsabilità degli Enti: Privacy e Modelli 231

Reati Informatici e Responsabilità Amministrativa (O Para-Penale) degli Enti: tutelare l’azienda rispettando la Normativa Privacy. Questo il titolo del Focus Privacy nell’approfondimento odierno, a cura dell’Avvocato Domenico Vozza, Privacy & Compliance Expert, Membro del Comitato Scientifico di S NewsBuona lettura! 

È tempo di correre – davvero – ai ripari e, nonostante l’ampio lasso di tempo trascorso a partire dall’adozione dei primi interventi normativi europei e dei singoli Stati Membri dell’Unione, adottare concrete, efficaci e valide azioni di difesa del patrimonio informativo degli enti, sia pubblici, sia privati (società/associazioni/studi professionali organizzati in forma societaria). A decorrere dalla ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica, avvenuta con la promulgazione della Legge 18 marzo 2008, n. 48, l’impatto dei crimini informatici compiuti all’interno delle aziende, stigmatizzati nella disciplina che fa capo alla Legge 23 dicembre 1993 n. 547, non produce più solo effetti con riguardo ai profili di responsabilità penale personale dell’autore del “crimine”, ma determina un’altrettanta severa forma di responsabilità amministrativa in capo alle aziende, regolata da una norma introdotta nell’ordinamento giuridico dal 2001 e che va sotto il nome di “Decreto 231”.

Si tratta di un terzo genere di responsabilità, detta anche “para-penale”, la quale prevede che gli enti/società possano essere “imputati” in un processo penale; si tratta, in definitiva, di una responsabilità «diretta», la quale deriva da un fatto proprio dell’ente ed è autonoma rispetto a quella dell’autore materiale del delitto.

In breve, il D.lgs. 231/2001 prevede che l’ente risponda, in aggiunta alla persona fisica che ha commesso il reato, se:

– è stato commesso uno dei reati presupposto, elencati agli articoli che vanno dal 24 al 26;
– il reato è stato commesso nell’interesse o a vantaggio dell’ente(1) da soggetti qualificati (posizione apicale o sottoposti all’altrui direzione(2);
– l’ente non ha predisposto un modello organizzativo effettivo, valido ed efficace per la prevenzione dei reati.

Tra gli enti destinatari della normativa, oltre quelli dotati di personalità giuridica in forma societaria e pluripersonale, si aggiungono, secondo gli orientamenti giurisprudenziali più recenti, anche le imprese individuali(3), nonché le associazioni anche prive di personalità giuridica.

L’autorità competente ad esercitare l’azione penale nei confronti dell’ente è il Pubblico Ministero, il quale, ai sensi dell’art. 59 comma 1 del D.lgs. 231/01, effettua la contestazione dell’illecito in uno degli atti indicati dall’art. 405 del Codice di Procedura Penale(4).

Le sanzioni previste (pecuniarie, interdittive, la confisca e pubblicazione della sentenza) sono applicate dallo stesso giudice competente per il reato presupposto, il quale le irroga mediante decreto o sentenza di condanna(5).

Le ripercussioni per le società, qualora dovessero essere chiamate a rispondere ai sensi del citato decreto 231, sono evidentemente di grande rilevanza, rischiando di compromettere l’esistenza stessa dall’ente.

Ed è per questo che il Legislatore ha voluto, altresì, prevedere delle esimenti che si applicano qualora:

– la società abbia adottato, preventivamente rispetto alla commissione dell’illecito, modelli organizzativo-comportamentali e di gestione diretti ed astrattamente idonei a prevenire la commissione di detti reati;
– il reato sia stato commesso dall’autore materiale nel suo esclusivo interesse o di terzi (plausibile specie se ad agire sia stato un soggetto sottoposto alla direzione o alla vigilanza di soggetti in posizione apicale).

Proprio come riportato all’inizio della presente dissertazione, la Legge n. 48/2008 ha ampliato l’area dei reati presupposto in presenza dei quali scatta la responsabilità degli enti: all’art. 24-bis(6), figurano alcuni dei comportamenti che rappresentano minacce alla sicurezza informatica e che, nel nostro ordinamento, sono qualificati come condotte penalmente rilevanti.

La sicurezza informatica si interfaccia con la tutela dei dati personali al punto che, il previgente Codice Privacy (D.lgs. n.196/03), in tema di tutela dei dati personali e, ora, il Regolamento UE 2016/679 (GDPR) stabilisce obblighi specifici e generali che si sostanziano nell’obbligo necessitato, da parte del titolare e/o del responsabile del trattamento dei dati, di implementare una serie di “adeguate” misure di sicurezza da definire in base ad un’accurata analisi dei rischi (o valutazione d’impatto sulla protezione dei dati personali).

Nonostante l’intervenuta abrogazione delle misure “minime di sicurezza”, di cui all’Allegato B al previgente Codice Privacy, a mio avviso le stesse riacquistano vigore nell’indirizzare il titolare del trattamento o e/o i responsabili esterni del trattamento dei dati personali (e aggiungerei “aziendali”) all’adozione degli standards di sicurezza richiesti dal GDPR al punto tale da divenire  conditio sine qua non per lo svolgimento delle attività di trattamento dei dati(7).

All’interno dell’azienda, al giorno d’oggi, i rischi correlati al crimine informatico sono di grande rilevanza; si pensi che la maggior parte dei processi aziendali sono informatizzati e per di più esternalizzati; l’assistenza tecnica od i servizi di cloud computing ne sono un chiaro esempio.

Difatti, il d.lgs. 231 prevede che tra l’autore materiale del reato e l’ente non debba intercorrere necessariamente un rapporto di lavoro subordinato, rilevando la subordinazione alla direzione o vigilanza di uno dei soggetti in posizione apicale, la quale è rinvenibile anche nei rapporti con i collaboratori esterni/consulenti.

Questi ultimi devono essere nominati responsabili del trattamento, come nel caso dell’amministratore di sistema in outsourcing, del fornitore di servizi cloud o del manutentore del sito web aziendale e come tali devono attenersi alle istruzioni loro fornite dal titolare. È rinvenibile in tali rapporti quel vincolo di subordinazione alla vigilanza e direzione dei soggetti apicali, richiesto dall’art. 5 del D.lgs. 231, per l’insorgere della responsabilità amministrativa dell’ente.

In particolare, le aziende devono valutare ex ante l’affidabilità di tali consulenti/fornitori nonché prevedere, nei contratti conclusi con gli stessi, un’apposita clausola che regoli le conseguenze delle violazioni alle norme del D.lgs. 231/01.

La prevenzione dei reati informatici, al fine di evitare di incorrere nella citata responsabilità, passa attraverso la predisposizione di misure di sicurezza fisica, logica ed organizzativa. La sensibilizzazione della dirigenza e dei dipendenti, la loro formazione, le azioni di monitoraggio ed audit sono solo alcuni dei punti chiave per assicurare l’azienda dalle gravi ripercussioni previste dal D.lgs. 231/01.

Per difendersi l’azienda ha vari strumenti che riducono il rischio di commissione di reati ed illeciti, i più efficaci dei quali sono l’adozione di un valido ed efficace modello di organizzazione e gestione e di una privacy policy.

Il rispetto della normativa privacy, prevedendo l’applicazione di misure di sicurezza adeguate, consente appunto di prevenire la commissione dei reati presupposti previsti dal D.lgs. 231/01; le policy ed i modelli organizzativi sono efficaci ed assumono valore esimente, solamente se concretamente attuati e se portati a conoscenza di dipendenti e stakeholders

Tutto quanto sopra esposto si può rinvenire esaminando un’importante sentenza della Suprema Corte di Cassazione n. 22313 del 03 novembre 2016 che ha cassato, con rinvio, la sentenza della Corte d’Appello territoriale,

Il caso è stato il seguente: “alcuni ispettori, durante una verifica in banca, per accertare il rispetto delle disposizioni interne in materia di uso e sicurezza del materiale informatico assegnato ai dipendenti, rilevavano files potenzialmente dannosi nel pc aziendale in uso ad un dipendente. Pertanto, i dirigenti della società provvedevano ad emettere un provvedimento disciplinare nel quale reclamavano come la condotta del dipendente avesse “esposto la banca ai rischi conseguenti l’acquisizione del proprio sistema informativo di file che potrebbero comportare un coinvolgimento e sanzioni ai sensi del Decreto Legislativo n. 231 del 2001″.

Il caso è di particolare interesse, oltre che per l’attualità e per la forte connessione con i profili di responsabilità amministrativa dell’ente rispetto alla condotta penalmente rilevante del dipendente, soprattutto perché, anche nell’adozione di provvedimenti disciplinari di contestazione di illeciti, l’organo di vertice ha dimostrato consapevolezza di un eventuale coinvolgimento dell’azienda, con conseguenti severe sanzioni a carico della stessa.

Per concludere, se finora si è assistito ad un’inspiegabile ritrosia degli organi di vertice delle aziende (e, con essi, dei dipendenti, dei collaboratori) nel dotarsi di modelli organizzativi identificati nel decreto 231, l’attuale scenario – anche grazie alla laboriosa opera di diffusione di tematiche legate alla prevenzione degli illeciti penali in comparti produttivi – fa ben sperare in un costante e consistente sviluppo della Compliance normativa nei particolari e sensibili ambiti che fanno capo, in particolar modo, ai reati informatici e alla tutela della salute dei lavoratori ritenendo, in tal guisa, “presidiate” le principali aree di responsabilità nei confronti di assets fondamentali di un’azienda.

Da qui emerge sempre più forte l’esigenza di divulgare queste regole che proteggono gli enti solo se vi è consapevolezza di tale azione difensiva e dei danni – a volte irreparabili – a cui si incorre senza l’adozione di modelli organizzativi, di gestione e controllo, soprattutto nel tutelare l’asset più importante e che fa gola a criminali o semplicemente a concorrenti che, slealmente, intendono condurre un’attività più o meno organizzata: il patrimonio informativo!!

di Domenico Vozza

Per approfondire tutte queste tematiche è stato organizzato il Convegno “La Tutela delle Informazioni Aziendali. CyberSecurity, Modelli di Compliance 231, Certificazioni” grazie alla collaborazione tra IMQ, K-Solution, ANPIT, AssPriCom 2.0 ed S News, Media Partner dell'evento. Il Convegno si terrà il 26 Novembre 2019 a Roma presso il Centro Congressi Cavour, con inizio alle ore 14:30.
Durante l’evento si svolgerà anche una Simulazione di Incident Informatico, per dare la possibilità ai partecipanti di osservare direttamente le dinamiche e rendere così edotti i Responsabili della Governance relativamente alle adeguate misure di sicurezza da adottare, trattate nell’articolo e che saranno ulteriormente approfondite e dibattute nel corso dell’assise, grazie al contributo di esperti del settore.
L’evento è a partecipazione gratuita, ma i posti sono limitati. Si prega quindi di iscriversi, cliccando qui 


(1) L’evento “vantaggio” fa riferimento alla concreta acquisizione di un’utilità per l’Ente, l’”interesse”, invece, implica soltanto la finalizzazione della condotta illecita, integrante il reato presupposto, verso quella utilità, senza che sia necessario il suo effettivo conseguimento.
(2) La nozione di soggetto apicale di un ente viene definita dall’esercizio formale di funzioni di rappresentanza, amministrazione o direzione. Quanto ai dipendenti, non v’è ragione per escludere la responsabilità dell’ente dipendente da reati compiuti da tali soggetti, quante volte essi agiscano appunto per conto dell’ente, e cioè nell’ambito dei compiti ad essi devoluti. In altre parole, con riguardo al rapporto di dipendenza, quel che sembra contare è che l’ente risulti impegnato dal compimento, da parte del sottoposto, di un’attività destinata a riversarsi nella sua sfera giuridica.
(3) Sentenza Corte di Cassazione penale sez. III n°15657 /2011 secondo la quale “Poiché è indubbio che la disciplina del D.Lgs. n. 231/2001 si applica alle s.r.l. c.d. ”unipersonali” e che l’organizzazione interna di molte imprese individuali è assai articolata e complessa, una lettura costituzionalmente orientata dell’art. 1, comma 2, del predetto decreto legislativo porta a includere fra gli enti responsabili di reati commessi a loro vantaggio e nel loro interesse anche le imprese individuali onde evitare disparità di trattamento altrimenti ingiustificate.”
(4) Applicazione della pena su richiesta delle parti, giudizio direttissimo, giudizio immediato, procedimento per decreto ovvero richiesta di rinvio a giudizio.
(5) La sanzione pecuniaria è determinata dal giudice attraverso un sistema basato su quote: l’importo di una quota va da un minimo di 258 € ad un massimo di 1.549 €. La sanzione pecuniaria viene applicata in un numero non inferiore a 100 quote né superiore a 1000 quote. Sono sanzioni interdittive: l’interdizione dall’esercizio dell’attività;- la sospensione o la revoca di autorizzazioni, licenze, concessioni funzionali alla commissione dell’illecito; il divieto di contrattare con la Pubblica Amministrazione; l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi;il divieto di pubblicizzare beni o servizi.
(6) Falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.)
Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.)
Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.)
Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.)
Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.)
Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.)
Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.)
Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.)
Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.)
Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.)
Frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.)
(7) La mancata adozione di misure di sicurezza adeguate  sottopongono l’azienda al rischio di azione per il risarcimento del danno in caso di danni a terzi.

#Cybersecurity#Privacy
Condividi questo articolo su:
Articoli correlati
Anand Oswal Palo Alto Networks 5G Cybersicurezza AI
Cybersecurity

Accelerare il 5G con la cybersicurezza alimentata dall’AI

L’attuale momento storico che vede al centro della sua grande evoluzione la trasformazione digitale delle imprese, necessita, secondo Anand Oswal, Senior Vice President e General Manager of Network Security di...
24 Luglio 2024 - Redazione
Domenico Favuzzi Exprivia CyberSecurity Cover Story S News 75
Cybersecurity

Exprivia e il futuro dell’ICT: AI, ESG, CyberSecurity

Exprivia è la protagonista della Cover Story del numero 75 di S News, il numero Speciale dedicato in particolar modo al Security Management, ai Progettisti e ai grandi End Users...
23 Luglio 2024 - Monica Bertolo
Check Point Research attacchi informatici Q2 2024
Cybersecurity

+30% di attacchi informatici Q2 2024: l’aumento maggiore degli ultimi 2 anni

I nuovi dati rilasciati da Check Point Research sulle tendenze degli attacchi informatici nel Q2 del 2024, rivelano un incremento del 30% a livello globale determinando così l’aumento maggiore degli...
18 Luglio 2024 - Redazione
Altre news da: Attualità
Massimiliano Troilo General Manage Hikvision Italy BU Project
Attualità

HIKVISION, Troilo: la BU Project per i progetti di fascia alta

Evoluzioni in HIKVISION, con la nascita della BU Project, sviluppo della BU Solution, che punta in modo chiaro e determinato ai progetti di fascia alta, come ben spiega Massimiliano Troilo, General...
26 Luglio 2024 - Monica Bertolo
Ing. Cristina Andreoni CEO Elan Regolamento Prodotti da Costruzione (CPR)
Attualità

Il Regolamento Prodotti da Costruzione (CPR)

Cristina Andreoni, CEO ELAN, approfondisce l’argomento relativo al Regolamento Prodotti da Costruzione (CPR), con riferimenti specifici al settore dei CAVI. Andreoni specifica anche come ELAN abbia costantemente lavorato per rendere...
25 Luglio 2024 - Redazione
Ing. Dario Nolli consulente rivelazione automatica d'incendio Route EN 54
Attualità

Route EN 54 e l’apporto dell’ing. Nolli: norma UNI 9795 e TR 11924

Tra i relatori d’eccezione di Route EN 54, il seminario tecnico sull’Alta Formazione e le Soluzioni Innovative per la progettazione della sicurezza antincendio, l’ingegner Dario Nolli, Consulente di rivelazione automatica...
19 Luglio 2024 - Monica Bertolo

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.