D. Lgs. 231/2001 e prevenzione dei reati informatici
Introduzione
Da tempo mi chiedevo quali accorgimenti tecnici
potessero essere messi in campo dalle aziende al fine di assicurarsi una
traccia digitale per fronteggiare e difendersi da un eventuale procedimento
penale a loro carico nell’ipotesi di un reato informatico.
Un informatico, quale sono anche io, risponderebbe
“loggo tutto, poi, se serve, il file è lì”; ma purtroppo questo approccio potrebbe
comportare infrazioni allo Statuto dei lavoratori, al codice sulla privacy e a qualche
articolo del codice penale e persino alla Costituzione.
Lo scopo del presente documento, senza alcuna
presunzione, è di illustrare brevemente il quadro normativo per poi giungere a
quella che per me è una soluzione accettabile e bilanciata per tutelare da una
parte gli interessi aziendali e dall’altra i diritti fondamentali dell’uomo.
Quadro
normativo
Reati informatici previsti dal Codice Penale
Accesso
abusivo a sistema informatico o telematico (art. 615 ter c.p.);
Intercettazione,
impedimento o interruzione illecita di comunicazioni informatiche o telematiche
(art. 617 quater c.p.);
Installazione
di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni
informatiche o telematiche (art. 617 quinquies c.p.);
Danneggiamento
di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro
ente pubblico o comunque di pubblica utilità (art. 635 ter c.p.);
Danneggiamento
di sistemi informatici o telematici (art. 635 quater c.p.);
Danneggiamento
di sistemi informatici o telematici di pubblica utilità (art. 635 quinquies
c.p.);
Detenzione e
diffusione abusiva di codici di accesso a sistemi informatici o telematici
(art. 615 quater c.p.);
Diffusione di
apparecchiature, dispositivi o programmi informatici diretti a danneggiare o
interrompere un sistema informatico o telematico (art. 615 quindies c.p.);
Falsità di
documenti informatici (art. 491 c.p.);
Frode
informatica del soggetto che presta servizi di certificazione di firma
elettronica (art. 640 quinquies c.p.);
Violazione,
sottrazione o soppressione di corrispondenza (art. 616 c.p.)
Costituzione
Art. 2 - La Repubblica riconosce e garantisce i diritti inviolabili dell'uomo, sia come
singolo sia nelle formazioni sociali ove si svolge la sua personalità, e richiede
l'adempimento dei doveri inderogabili di solidarietà politica, economica e
sociale.
Art. 41 - L'iniziativa
economica privata è libera. Non può
svolgersi in contrasto con l'utilità sociale o in modo da recare danno alla
sicurezza, alla libertà, alla dignità
umana. La legge determina i programmi e i controlli opportuni perché
l'attività economica pubblica e privata possa essere indirizzata e coordinata a
fini sociali.
Legge 300/1970 - Statuto Lavoratori
Art. 4 - È vietato l'uso di impianti audiovisivi e
di altre apparecchiature per finalità di controllo a distanza dell'attività dei
lavoratori.
Gli impianti
e le apparecchiature di controllo che siano richiesti da esigenze organizzative
e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la
possibilità di controllo a distanza dell'attività dei lavoratori, possono
essere installati soltanto previo accordo con le rappresentanze sindacali
aziendali, […]
Legge
231/2001
Art. 1 comma 1
– Il presente decreto legislativo disciplina la responsabilità degli enti per gli illeciti amministrativi dipendenti da
reato.
[…]
Art. 5 comma
1 - L'ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio:
a) da persone
che rivestono funzioni di rappresentanza, di amministrazione o di direzione
dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e
funzionale nonché da persone che esercitano, anche di fatto, la gestione e il
controllo dello stesso;
b) da persone
sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla
lettera a).
[…]
Art. 6 comma 1
- Se il reato è stato commesso dalle persone indicate nell'articolo 5, comma 1,
lettera a), l'ente non risponde se
prova che:
a) l'organo
dirigente ha adottato ed efficacemente attuato, prima della commissione del
fatto, modelli di organizzazione e di
gestione idonei a prevenire reati della specie di quello verificatosi;
b) il compito
di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro
aggiornamento è stato affidato a un
organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo;
c) le persone
hanno commesso il reato eludendo
fraudolentemente i modelli di organizzazione e di gestione;
d) non vi è stata omessa o insufficiente
vigilanza da parte dell'organismo di cui alla lettera b).
Art. 6 comma 2
- In relazione all'estensione dei poteri delegati e al rischio di commissione
dei reati, i modelli di cui alla lettera a), del comma 1, devono rispondere
alle seguenti esigenze:
a) individuare le attività nel cui ambito
possono essere commessi reati;
b) prevedere specifici protocolli diretti a
programmare la formazione e l'attuazione delle decisioni dell'ente in relazione
ai reati da prevenire;
c)
individuare modalità di gestione delle risorse finanziarie idonee ad impedire
la commissione dei reati;
d) prevedere
obblighi di informazione nei confronti dell'organismo deputato a vigilare sul
funzionamento e l'osservanza dei modelli;
e) introdurre un sistema disciplinare idoneo
a sanzionare il mancato rispetto delle misure indicate nel modello.
[…]
Dal quadro normativo sopra esposto è evidente che è
configurabile una doppia responsabilità: da un lato c’è la responsabilità
penale individuale, dall’altro la responsabilità “penale” dell’ente (vedi D.
Lgs. 231/2001) che, per certe tipologie di reato, prevedono pesanti sanzioni pecuniarie
ed interdittive tali da compromettere la sopravvivenza dell’ente stesso.
Con quali strumenti tecnici e procedurali può difendersi
l’ente di fronte all’evenienza di essere indagato per la condotta fraudolenta di
un proprio collaboratore?
Quali mezzi possono essere impiegati dall’ente garantendo
un trattamento di dati “pertinente e non eccedente” (vedi delibera Garante
13/2007) da poter essere ammessi in sede giudiziaria con scopo difensivo? O
ancora meglio, quali mezzi possono essere impiegati per prevenire la commissione di reati aspirando alla tutela dell’immagine
e della reputazione aziendale, valorizzando principi di trasparenza,
correttezza, eticità e rispetto delle leggi?
La soluzione
proposta
La soluzione che propongo si compone di attività
volte a minimizzare il rischio di commissione di reati informatici che possono
sfociare in un procedimento penale a carico della persona fisica che l’ha
commesso e a carico dell’ente:
1) Redazione
di un regolamento interno, sottoscritto individualmente, nel quale vengono:
a.
elencati i reati informatici alla quale è
esposta l’azienda in considerazione dell’attività esercitata (articolo,
conseguenze penali individuali, conseguenze penali per l’azienda);
b.
illustrati con esempi pratici quali condotte
potrebbero costituire inconsapevolmente reato informatico;
c.
elencate le modalità per un corretto utilizzo di
internet (vedi All. B Codice privacy) e della posta elettronica, in particolare
specificando quali comportamenti sono tollerati e quali no (vedi delibera
Garante 13/2007);
d.
illustrati quali dati vengono memorizzati nel
log, la finalità, la tipologia e la cadenza di eventuali controlli che posso
essere fatti sugli stessi, il tempo di conservazione dei log ed infine il
nominativo del titolare del trattamento.
e.
Informati sull’utilizzo corretto delle password
personali;
f.
allegate le procedure interne idonee a prevenire
la commissione di reati (vedi esempio procedura interna in fondo a questo
articolo);
g.
definiti gli obblighi formativi riguardanti il
regolamento stesso;
h.
elencate le sanzioni in caso di infrazione del
disciplinare interno;
2) Informazione
capillare del regolamento interno mediante affissione in luogo accessibile a
tutti (art. 7 Legge n. 300/1970) e/o nella intranet aziendale;
3) Formazione;
4) Istituzione
di un Organismo di Vigilanza che abbia un potere ispettivo e sanzionatorio
sull’effettiva e corretta attuazione delle regole introdotte dal disciplinare
interno ed un autonomo potere di iniziativa riguardo la predisposizione e la
modifica delle procedure interne;
5) Predisposizione
di un log;
6) Redazione
e pubblicazione di un codice etico dove vengono definiti i valori a cui tutti
gli amministratori, dipendenti e collaboratori dell’azienda a vario titolo
devono ispirarsi, accettando responsabilità, ruoli e regole della cui
violazione essi assumono personalmente la responsabilità verso la società.
Esempio procedura
interna
Accesso abusivo a sistema informatico o telematico
(art. 615 ter c.p.)
Condotta:
Violazione dei sistemi informatici di un concorrente per acquisire informazioni
a scopo di spionaggio industriale.
Misure
preventive: L’accesso abusivo, oltre ad essere di per sé un illecito penale
sia per l’individuo che l’ha commesso sia per l’ente, può essere strumentale
alla realizzazione di altre fattispecie criminose. I controlli predisposti per
prevenire tale fattispecie di reato potrebbero pertanto risultare efficaci
anche per la prevenzione di altri reati.
Tra tali controlli si segnalano:
1) adozione
di procedure di validazione delle credenziali di sufficiente complessità e
previsione di modifiche periodiche (vedi All. B Codice privacy);
2) procedure
che prevedano la rimozione dei diritti di accesso al termine del rapporto di
lavoro (vedi ISO IEC 27001:2005 A.8.3.3 – Rimozione dei diritti di accesso e ISO
IEC 27001:2005 A.11.2.1 registrazione degli utenti che accedono a informazioni
riservate);
3) aggiornamento
regolare dei sistemi informativi in uso (vedi All. B Codice privacy);
4) modalità
di accesso ai sistemi informatici aziendali mediante adeguate procedure di
autorizzazione, che prevedano, ad esempio, la concessione dei diritti di
accesso ad un soggetto soltanto a seguito della verifica dell’esistenza di
effettive esigenze derivanti dalle mansioni aziendali che competono al ruolo
ricoperto dal soggetto (ISO IEC 27001:2005 A.11.2.2 Gestione privilegi, ISO IEC
27001:2005 A.11.5.1 Procedura di logon e ISO IEC 27001:2005 A.11.5.2
Identificazione ed autorizzazione degli uteni);
5) procedura
per il controllo degli accessi (ISO IEC 27001:2005 A.11.1.1 Politica controllo
accessi);
6) tracciabilità
degli accessi e delle attività critiche svolte tramite i sistemi informatici
aziendali (ISO IEC 27001:2005 A.10.10.1 Log Audit, ISO IEC 27001:2005 A.10.10.3
Protezione log, ISO IEC 27001:2005 A.10.10.4 Log amministratori ed operatori, ISO
IEC 27001:2005 A.10.10.2 Monitoraggio utilizzo sistemi);
7) definizione
e attuazione di un processo di autorizzazione della direzione per le strutture
di elaborazione delle informazioni (ISO IEC 27001:2005 A.6.1.4 Processo di
autorizzazione per sistemi informativi).
Conclusioni
Seppur l’adozione dei log sarà sempre necessaria
per documentare e difendersi da eventuali condotte scorrette, secondo le
modalità sopra enunciate il loro utilizzo sarà relegato esclusivamente
all’estrazione di informazioni costituenti valore probatorio per far valere o
difendere un diritto in sede giudiziaria.
Inoltre, se le procedure sopra enunciate sono
correttamente e realmente attuate possono concretamente contribuire a minimizzare,
o persino ad azzerare, la probabilità di commissione di reati della tipologia
analizzata.
Riferimenti
[7] ISO IEC 27001:2005
[8] Linee guida Confindustria sulla redazione di
modelli organizzativi ai sensi del D.Lgs. 231/2001
Note sull’autore
Giuseppe Montagnola, classe 1976, laureato in
Informatica all’Università degli studi di Modena, svolge la professione di consulente
informatico dal 2000 ed amministratore della GM Soft Srl (
http://www.gm-soft.it), società di consulenza
informatica operante nello sviluppo software personalizzato e nell’informatica
forense.
