Il D.lgs. 231/01 ha introdotto nel nostro ordinamento giuridico la responsabilità amministrativa degli Enti e delle Società per taluni reati (c.d. reati presupposto) commessi nel loro interesse o a loro vantaggio da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione; lo stesso dicasi se il reato è commesso da persone sottoposte alla direzione e vigilanza di uno dei soggetti sopra indicati.
Il legislatore ha previsto la possibilità per gli Enti di esimersi dalla responsabilità o di attenuare le conseguenze derivanti dalla commissione di un “reato presupposto”. Le aziende possono, infatti, adottare un modello organizzativo contenente linee guida e protocolli volti alla prevenzione dei reati presupposto.
Con la L. 48/2008 che ha ratificato la Convenzione di Budapest del Consiglio d’Europa sul cyber crime, i reati informatici sono stati inseriti nel novero dei reati presupposto, quindi tra quei reati per cui anche l’Ente, oltre che la persona fisica, può esser ritenuto responsabile.
Sostanzialmente nei crimini informatici i sistemi di elaborazione assumono uno dei seguenti ruoli:
- oggetto: ciò include la distruzione o la manipolazione dell’elaboratore, dei dati e dei programmi in esso contenuti e delle relative apparecchiature di supporto;
- soggetto: quando l’elaboratore è il luogo, il motivo o la fonte del crimine;
- strumento: quando ciò che avviene in relazione all’elaborazione non è di per sé illegale, ma serve a commettere crimini di altro tipo (es. sabotaggio). In pratica un sistema di elaborazione, o ciò che viene prodotto dall’elaboratore, è usato come mezzo per compiere frodi, sabotaggi, falsificazioni.
Tra i reati recepiti dal D.lgs. 231/2001 rientrano tra l’altro anche la falsità in un documento informatico, la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici e l’accesso abusivo ad un sistema informatico o telematico, oltre a numerosi altri reati collegati all’informatica.
Come prevenire la responsabilità dell’Ente a fronte di uno scenario di rischio così ampio e vario?
In primo luogo, ciascuna azienda dovrà identificare:
- quali reati sono astrattamente configurabili all’interno della propria realtà;
- quali sono le attività sensibili, ovvero le attività nel cui svolgimento può essere commesso uno dei reati presupposto identificati come astrattamente realizzabili.
Ruoli e responsabilità
È fondamentale che tutte le responsabilità in materia di sicurezza delle informazioni siano definite e assegnate in conformità con le politiche e le procedure di sicurezza.
Inoltre, le aree per le quali le persone sono responsabili dovrebbero essere indicate e i soggetti designati devono essere competenti e avere l’opportunità di tenersi aggiornati.
Formazione in materia di sicurezza delle informazioni
L’Ente deve adottare un programma di sensibilizzazione sulla sicurezza delle informazioni con l’obiettivo di rendere i dipendenti e, se del caso, i fornitori, consapevoli delle loro responsabilità per la sicurezza delle informazioni e dei mezzi con cui tali responsabilità vengono assolte.