Computer crime e 231/2001
Reati informatici e responsabilità amministrativa degli Enti
La sicurezza informatica, si intreccia, inevitabilmente, con la tutela dei dati personali, tanto che sono previste disposizioni, all’interno del Codice della Privacy (D.lgs. n.196/2003), che prevedono determinati obblighi in capo al titolare del trattamento dei dati, quali ad esempio la necessità di implementare una serie di misure minime di sicurezza, identificate direttamente dalla normativa, oppure misure idonee e preventive da identificare in base ad un’accurata analisi dei rischi. Ad oggi tali rischi, correlati ai crimini informatici (computer crime) sono di grande rilevanza, si pensi che la maggior parte dei processi aziendali, sono informatizzati (ne sono un chiaro esempio l’assistenza tecnica o i servizi di cloud computing).
Dalle statistiche, almeno l’80% delle aziende europee ha sperimentato la violazione della sicurezza informatica aziendale nel 2016, minacciando la fiducia degli investitori nell’economia digitale. Anche la Cassazione è intervenuta, a far comprendere quanto sia importante per un’impresa, dotarsi di un efficace modello di prevenzione reati e più in generale di un modello ex D.lgs. 231/2001, con la sentenza numero 22313 del 3 novembre 2016. Nel caso in esame, in seguito ad una verifica fatta da alcuni ispettori in una banca, al fine di verificare il rispetto delle disposizioni interne, in materia di uso e sicurezza del materiale informatico assegnato ai dipendenti, venivano rilevati files potenzialmente dannosi nel pc dell’azienda in dotazione al dipendente. A tale verifica seguiva formale provvedimento disciplinare dei dirigenti nei confronti del dipendente, reo di aver esposto la banca ai rischi conseguenti l’acquisizione del proprio sistema informativo di files, che avrebbero potuto comportare delle sanzioni ai sensi del D.lgs. 231 del 2001.
A decorrere dalla Convenzione del Consiglio d’Europa sulla criminalità informatica, con la Legge numero 48 del 18 marzo del 2008, la configurazione di crimini informatici, produce effetti anche nei confronti dell’azienda stessa, assoggettata ad una severa forma di responsabilità amministrativa, detta anche "para-penale", derivante da un fatto proprio dell’Ente, autonomo rispetto a quella dell’autore materiale del delitto. La stessa norma ha ulteriormente ampliato l’area dei reati presupposto, in presenza dei quali scatta la responsabilità degli enti, infatti all’art. 24 bis, figurano alcuni dei comportamenti che rappresentano minacce alla sicurezza informatica, qualificati, nel nostro ordinamento, come condotte penalmente rilevanti. Tuttavia il Legislatore stabilisce che non si configuri responsabilità quando:
- la società abbia, preventivamente, adottato, modelli organizzativo-comportamentali e di gestioni idonei a prevenire la commissione di detti reati;
- il reato sia stato commesso dall’autore materiale nel suo esclusivo interesse o di terzi.
Se dunque, fino ad ora, gli organi al vertice delle aziende adottavano un approccio di sufficienza riguardo tale ambito, oggi invece si punta forte sullo sviluppo nella Compliance normativa in ambiti particolarmente sensibili, quali quello informatico e quello della tutela della salute dei lavoratori.
Dalle statistiche, almeno l’80% delle aziende europee ha sperimentato la violazione della sicurezza informatica aziendale nel 2016, minacciando la fiducia degli investitori nell’economia digitale. Anche la Cassazione è intervenuta, a far comprendere quanto sia importante per un’impresa, dotarsi di un efficace modello di prevenzione reati e più in generale di un modello ex D.lgs. 231/2001, con la sentenza numero 22313 del 3 novembre 2016. Nel caso in esame, in seguito ad una verifica fatta da alcuni ispettori in una banca, al fine di verificare il rispetto delle disposizioni interne, in materia di uso e sicurezza del materiale informatico assegnato ai dipendenti, venivano rilevati files potenzialmente dannosi nel pc dell’azienda in dotazione al dipendente. A tale verifica seguiva formale provvedimento disciplinare dei dirigenti nei confronti del dipendente, reo di aver esposto la banca ai rischi conseguenti l’acquisizione del proprio sistema informativo di files, che avrebbero potuto comportare delle sanzioni ai sensi del D.lgs. 231 del 2001.
A decorrere dalla Convenzione del Consiglio d’Europa sulla criminalità informatica, con la Legge numero 48 del 18 marzo del 2008, la configurazione di crimini informatici, produce effetti anche nei confronti dell’azienda stessa, assoggettata ad una severa forma di responsabilità amministrativa, detta anche "para-penale", derivante da un fatto proprio dell’Ente, autonomo rispetto a quella dell’autore materiale del delitto. La stessa norma ha ulteriormente ampliato l’area dei reati presupposto, in presenza dei quali scatta la responsabilità degli enti, infatti all’art. 24 bis, figurano alcuni dei comportamenti che rappresentano minacce alla sicurezza informatica, qualificati, nel nostro ordinamento, come condotte penalmente rilevanti. Tuttavia il Legislatore stabilisce che non si configuri responsabilità quando:
- la società abbia, preventivamente, adottato, modelli organizzativo-comportamentali e di gestioni idonei a prevenire la commissione di detti reati;
- il reato sia stato commesso dall’autore materiale nel suo esclusivo interesse o di terzi.
Se dunque, fino ad ora, gli organi al vertice delle aziende adottavano un approccio di sufficienza riguardo tale ambito, oggi invece si punta forte sullo sviluppo nella Compliance normativa in ambiti particolarmente sensibili, quali quello informatico e quello della tutela della salute dei lavoratori.
Articolo del: