DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI (ART. 24 BIS)
Introduzione
L’art. 24 bis del d.lgs. 231/2001 punisce l’ipotesi in cui l’ente commetta delitti informatici e violi la normativa relativa al trattamento illecito dei dati. In particolare, i reati richiamati in questo articolo possono essere distinti in due gruppi a seconda che le condotte incriminate siano funzionali al danneggiamento di dati di hardware o software, alla detenzione e diffusione di software o altre attrezzature informatiche necessarie alla commissione dei reati di cui al primo gruppo. Inoltre, si può considerare anche una terza categoria nella quale si collocano quelle norme che puniscono la violazione dell’integrità dei documenti informatici e della loro gestione attraverso la firma digitale.
Queste norme tutelano talvolta la riservatezza (es. art. 615 ter e quater) talvolta la tutela dell’integrità informativa (es. 615 bis, ter, quater e quinquies).
Tale classificazione può aiutare gli interpreti nell’individuazione di una mappatura efficace di prevenzione dei rischi, sia per la realizzazione ed implementazione di misure di prevenzione opportune. È chiaro che il crescente utilizzo di programmi di intelligenza artificiale accresca la possibilità che i rischi di commissione di tali tipologie di reato.
I soggetti maggiormente esposti a questi rischi di reato sono coloro i quali sono maggiormente esposti all’utilizzo di strumenti informatici e telematici per lo svolgimento delle proprie attività.
Quanto invece alle aziende maggiormente a rischio di commissione di reati informatici è evidente che queste non siano unicamente quelle che lavorano in ambito di IT, ma anche i numerosi dipartimenti aziendali esposti al rischio di commissione di reati in quanto dotati di strumenti necessari per commettere uno dei delitti informatici determinando un interesse o un vantaggio economico per l’azienda.
Occorrerà, preliminarmente, identificare gli specifici processi operativi per poi proseguire a:
- Fare un inventario degli ambiti aziendali e delle varie attività;
- Mappare le aree rilevanti di rischio;
- Creare un meccanismo di adeguamento del sistema di controlli preventivi mediante la descrizione documentata.
-
I reati presupposto
– l’art. 615 ter c.p.: Accesso abusivo a sistema informatico;
– l’art. 615 quater c.p.: Detenzione o diffusione abusiva di codici di accesso a sistemi informatici o telematici;
– l’art. 615 quinquies c.p.: Diffusione di apparecchiature, dispositivi, o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;
–l’art. 617 quater c.p.: Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;
– l’art. 617 quinquies c.p.: Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche;
– l’art. 635 bis c.p.: Danneggiamento di informazioni, dati e programmi informatici;
– l’art. 635 ter c.p.: Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità;
– l’art. 635 quater c.p.: Danneggiamento di sistemi informatici o telematici;
– l’art. 635 quinquies c.p.: Danneggiamento di sistemi informatici o telematici di pubblica utilità;
– l’art. 491 bis c.p.: Documenti informatici;
– l’art. 640 quinquies c.p.: Frode informatica del soggetto che presta servizi di certificazione di firma elettronica;
– l’art. 1 comma 11 D.L. 105/2019: Ostacolo e condizionamento dei procedimenti per la Sicurezza Cibernetica e delle relative attività ispettive.
-
Trattamento sanzionatorio
In relazione a questi reati, puniti singolarmente con pene diverse, si applica all’ente la sanzione pecuniaria:
a) da 100 a 500 quote per i reati p. e p. dagli artt. 615 ter, 617 quater e quinquies, 635 bis, ter, quater e quinquies c.p.;
b) fino a 300 quote per i reati p. e p. dagli artt. 615 quater e quinquies c.p.;
c) fino a 400 quote per i reati p. e p. dagli artt. 491 bis, 640 quinquies, art. 1 comma 11 D.L. 105/2019.
Si applicano inoltre le sanzioni interdittive previste dall’art. 9 comma 2 D. Lgs. 231/2001.
a) in particolare, in caso di condanna per i reati p. e p. dagli artt. 615 ter, 617 quater e quinquies, 635 bis, ter, quater e quinquies c.p., si applicheranno le sanzioni dell’interdizione dall’esercizio dell’attività, la sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito oppure il divieto di pubblicizzare beni o servizi;
b) nei casi di condanna per uno dei delitti p. e p. dagli artt. 615 quater e quinquies c.p., si applicano le sanzioni interdittive della sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito oppure il divieto di pubblicizzare beni o servizi;
c) infine, in caso di condanna per i reati p. e p. dagli artt. 491 bis, 640 quinquies, art. 1 comma 11 D.L. 105/2019, si potranno applicare le sanzioni interdittive del divieto di contrarre con la p.a., l’esclusione da agevolazioni e finanziamenti oppure il divieto di pubblicizzare beni o servizi;
3. Linee guida per la redazione del Modello Organizzativo
In relazione a tali fattispecie, è opportuno procedere alla redazione di protocolli necessari per colmare il cosiddetto “rischio residuo” emerso dalla mappatura alla luce dei presidi già autonomamente esistenti, al fine di rafforzarli.
Per prima cosa occorre verificare il loro livello di esposizione a rischio rispetto a questo tipo di reati e poi, a seconda del livello di informatizzazione dell’ente ed in base ai profili di rischio rilevati implementare specifici piani di cybersecurity adeguati che comprendono aspetti tecnologici, organizzativi e legali.
La prevenzione dei reati informatici, stando alle linee guida di Confindustria, deve essere svolta attraverso adeguate misure organizzative, tecnologiche e normative, assicurando che l’attività dell’Organismo di Vigilanza venga indirizzata anche attraverso specifiche forme di controllo degli aspetti sintomatici di anomalie del sistema informativo.
Il Modello dovrà essere progettato facendo in modo che i rischi individuati siano ridotti ad un livello accettabile, mediante specifici protocolli: è opportuno considerare che se dovesse essere commesso uno dei reati presupposto significherebbe che la causa sarebbe ascrivibile unicamente ad un’elusione fraudolenta del Modello stesso.
Degli utili presidi, tenuto conto delle dimensioni e dell’attività dell’ente, potrebbero essere:
- previsione nel codice etico di specifiche indicazioni volte ad impedire la commissione dei delitti informatici;
- previsione di un idoneo sistema di sanzioni disciplinari;
- predisposizione di strumenti tecnologici funzionali ad impedire la commissione di delitti informatici;
- pianificare programmi di formazione;
- prevedere l’utilizzo di sistemi cloud;
- diffondere le linee guida e di indirizzo e di procedere per istruire adeguatamente i dipendenti.
Inoltre il sistema di controllo per la prevenzione dei delitti informatici deve basarsi su alcuni principi:
- tracciabilità degli accessi e delle attività svolte sui sistemi informatici che supportano i processi esposti a rischio
- separazione dei ruoli che intervengono nelle attività schiave dei processi operativi esposti a rischio;
- procedure e livelli autorizzativi da associarsi alle attività critiche dei processi operativi esposti a rischio;
- raccolta, analisi e gestione di segnalazioni di fattispecie a rischio di delitti informatici rilevati da soggetti interni ed esterni all’ente;
- procedure di gestione interna di fattispecie di rischio di reato e di gestione dei rapporti con gli organi istituzionali.
In sintesi, in relazione a tali reati, più che rispetto a diversi altri, è opportuno un approccio integrato e multidisciplinare che cerchi di analizzare i rischi informatici che al giorno d’oggi, risultano essere sempre più frequenti. Gli enti dovranno seguire un approccio integrato fra d.lgs. 231/2001 e procedure privacy policy tali che l’una richiami l’altra, intersecandosi, così da raggiungere il miglior livello possibile di tutela e di prevenzione.
