La cyber security è stata una delle tematiche centrali nei dibattiti del 2020; altrettanto, purtroppo, non si può dire dei modelli di prevenzione dei reati ex D.lgs. 231/2001. I due temi, apparentemente disgiunti, sono nella realtà inevitabilmente connessi.
Secondo i dati del Dipartimento di Pubblica Sicurezza del Ministero dell’Interno, l’anno 2020 – da gennaio a novembre – ha visto un aumento del 32,7% dei reati informatici. L’incredibile crescita di tale forma di criminalità ben si inquadra nel contesto dello scorso anno, dove si è assistito ad un fenomeno di digitalizzazione di massa e, per quanto riguarda le imprese, di digitalizzazione del lavoro.
A proposito di queste ultime, uno studio dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano afferma che nel 2020 ben il 40% delle grandi aziende ha visto aumentare gli attacchi informatici rispetto all’anno precedente. Tuttavia, l’impatto economico dell’emergenza sanitaria ha costretto il 19% delle aziende a comprimere gli investimenti in ambito cyber security.
Il dato è preoccupante: da un canto la riduzione degli investimenti in ambito di sicurezza informatica espone inevitabilmente le imprese alle minacce cyber provenienti dall’esterno, dall’altro lo smart working e più in generale la digitalizzazione del lavoro aumenta il rischio di commissione di reati informatici all’interno dell’impresa stessa, con importanti conseguenze in termini economici e operativi.
Indice degli argomenti
Alcuni cenni al D.lgs. 231/2001
Il D.lgs. 231/01 ha introdotto nel nostro ordinamento giuridico la responsabilità amministrativa degli Enti e delle Società per taluni reati (c.d. reati presupposto) commessi nel loro interesse o a loro vantaggio da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione; lo stesso dicasi se il reato è commesso da persone sottoposte alla direzione e vigilanza di uno dei soggetti sopra indicati.
La responsabilità amministrativo-penale degli Enti si aggiunge perciò a quella delle persone fisiche che li rappresentano e che, materialmente, hanno realizzato l’illecito.
Non potendo la persona giuridica finire “in manette”, le sanzioni previste a carico dell’Ente sono di tipo:
- pecuniario: sanzioni comminate in numero di quote (da 1 a 1.000) di importo di € 1.549,00 a quota;
- interdittivo: le sanzioni interdittive prevedono il fermo dell’esercizio dell’attività. A ciò si può aggiungere la sospensione o la revoca di autorizzazioni, di licenze o concessioni, il divieto di contrattare con la pubblica amministrazione, l’esclusione da finanziamenti, sussidi, agevolazioni e l’eventuale revoca di quelli già concessi; il divieto di pubblicizzazione dei propri servizi e/o prodotti.
Accanto a questa nuova forma di responsabilità penale il legislatore ha previsto la possibilità per gli Enti di esimersi dalla responsabilità o di attenuare le conseguenze derivanti dalla commissione di un “reato presupposto”. Le aziende possono, infatti, adottare un modello organizzativo contenente linee guida e protocolli volti alla prevenzione dei reati presupposto.
Il D.lgs. 231/20021 prevede che la società possa essere esonerata dalla responsabilità conseguente alla commissione dei reati indicati se prova che:
- l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli idonei a prevenire reati della specie di quelli verificatisi;
- il compito di vigilare sul funzionamento, l’efficacia e l’osservanza dei modelli nonché di curare il loro aggiornamento è stato affidato ad un organismo dell’ente dotato di autonomi poteri di iniziativa e controllo, il cosiddetto organismo di vigilanza;
- le persone fisiche hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
- non vi sia stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla precedente lettera b).
I reati informatici come reati presupposto
Con la L. 48/2008 che ha ratificato la Convenzione di Budapest del Consiglio d’Europa sul cyber crime, i reati informatici sono stati inseriti nel novero dei reati presupposto, quindi tra quei reati per cui anche l’Ente, oltre che la persona fisica, può esser ritenuto responsabile.
Per reato informatico si intende ogni condotta prevista e punita dal Codice penale in cui lo strumento informatico o telematico rappresenta un elemento determinante ai fini della qualificazione del fatto di reato.
Sostanzialmente nei crimini informatici i sistemi di elaborazione assumono uno dei seguenti ruoli:
- oggetto: ciò include la distruzione o la manipolazione dell’elaboratore, dei dati e dei programmi in esso contenuti e delle relative apparecchiature di supporto;
- soggetto: quando l’elaboratore è il luogo, il motivo o la fonte del crimine;
- strumento: quando ciò che avviene in relazione all’elaborazione non è di per sé illegale, ma serve a commettere crimini di altro tipo (es. sabotaggio). In pratica un sistema di elaborazione, o ciò che viene prodotto dall’elaboratore, è usato come mezzo per compiere frodi, sabotaggi, falsificazioni.
Tra i reati recepiti dal D.lgs. 231/2001 rientrano:
- Art. 491 bis c.p.: falsità in un documento informatico;
- Art. 615 ter c.p.: accesso abusivo ad un sistema informatico o telematico;
- Art. 615 quater c.p.: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
- Art. 615 quinquies c.p.: diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;
- Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche;
- Art. 617 quater c.p.: intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;
- Art. 635 bis c.p.: danneggiamento di informazioni, dati e programmi informatici;
- Art. 635 ter c.p.: danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità;
- Art. 635 quater c.p.: danneggiamento di sistemi informatici o telematici;
- Art. 635 quinquies c.p.: danneggiamento di sistemi informatici o telematici di pubblica utilità;
- Art. 640 quinquies c.p.: frode informatica del certificatore di firma elettronica.
Nella quotidianità delle attività aziendali non è improbabile il verificarsi di queste fattispecie: si pensi ad esempio all’amministratore di sistema che accede alle postazioni dei dipendenti utilizzando le loro password. In questo caso si configurerebbe il reato di cui all’art. 615 ter c.p..
A volte intenzionalmente, altre per semplice leggerezza, mancanza di procedure o formazione, compiere un reato informatico è più comune di quanto non si possa pensare.
Quindi, come prevenire la responsabilità dell’Ente a fronte di uno scenario di rischio così ampio e vario?
Cyber security e 231: prevenzione dei reati informatici
Innanzitutto, l’Ente deve adottare un modello di prevenzione dei reati ex D.lgs. 231/2001. A poco valgono ai fini dell’esclusione della responsabilità penale eventuali procedure, misure di sicurezza o addirittura sistemi di gestione adottati che non risultino inseriti all’interno di un modello di organizzazione ex D.lgs. 231/2001.
Adottato quindi un corpus generale di modello contenente tutte le prescrizioni di legge (normativa 231/2001, descrizione dell’Ente, regole per l’Organismo di Vigilanza, Codice disciplinare, modalità di informazione delle parti interessate ecc.) occorrerà prevedere dei protocolli specifici per la prevenzione dei reati informatici.
In primo luogo, ciascuna azienda dovrà identificare:
- quali reati sono astrattamente configurabili all’interno della propria realtà (ad esempio: il reato di cui all’art. 640 quinquies c.p. può essere commesso solo dai soggetti che prestano servizi di certificazione della firma elettronica. Se l’Ente non svolge questo servizio, il reato sarà escluso da quelli presupposto e non dovranno quindi essere previsti protocolli di prevenzione in relazione a tale fattispecie);
- quali sono le attività sensibili, ovvero le attività nel cui svolgimento può essere commesso uno dei reati presupposto identificati come astrattamente realizzabili.
A questo punto, l’Ente può integrare le varie procedure, misure di sicurezza o sistemi di gestione implementati.
Un’utile guida da seguire per la creazione dei protocolli di prevenzione è offerta dagli standard ISO 27001 – Sistemi di gestione per la sicurezza delle informazioni e ISO 27002 – Linee guida per l’implementazione di sistemi di gestione per la sicurezza delle informazioni.
Vediamo quindi di seguito quali punti delle succitate norme è bene tenere in considerazione.
Ruoli e responsabilità
È fondamentale che tutte le responsabilità in materia di sicurezza delle informazioni siano definite e assegnate in conformità con le politiche e le procedure di sicurezza. Sarebbe opportuno assegnare almeno le seguenti responsabilità:
- protezione degli asset;
- attività di gestione dei rischi per la sicurezza delle informazioni;
- gestione delle infrastrutture;
- esecuzione di processi di sicurezza specifici.
Le aree per le quali le persone sono responsabili dovrebbero essere indicate. In particolare, dovrebbe avvenire quanto segue:
- dovrebbero essere identificati e definiti gli asset e i processi di sicurezza delle informazioni;
- dovrebbe essere identificato un responsabile per ciascun asset o processo di sicurezza delle informazioni e dovrebbero essere documentati i dettagli di questa responsabilità;
- i livelli di autorizzazione agli accessi dovrebbero essere definiti e documentati;
Per essere in grado di adempiere alle responsabilità nell’area assegnata, i soggetti designati devono essere competenti e avere l’opportunità di tenersi aggiornati.
È inoltre fondamentale tenere sotto controllo anche i fornitori esterni che possono avere impatti in relazione alla sicurezza delle informazioni.
Formazione in materia di sicurezza delle informazioni
L’Ente deve adottare un programma di sensibilizzazione sulla sicurezza delle informazioni con l’obiettivo di rendere i dipendenti e, se del caso, i fornitori, consapevoli delle loro responsabilità per la sicurezza delle informazioni e dei mezzi con cui tali responsabilità vengono assolte.
Le attività del programma di sensibilizzazione dovrebbero essere programmate nel tempo, preferibilmente regolarmente, in modo che le attività siano ripetute e coprano i nuovi dipendenti e fornitori.
Il programma di sensibilizzazione dovrebbe anche essere aggiornato regolarmente in modo da rimanere in linea con le politiche e le procedure organizzative e dovrebbe essere basato sulle nozioni apprese dagli incidenti o quasi reati in ambito di sicurezza delle informazioni.
Relativamente a dipendenti e fornitori è necessario stabilire anche delle politiche e procedure atte alla protezione delle informazioni anche al termine del rapporto di lavoro o alla scadenza del contratto di fornitura.
Protocolli specifici
L’Ente deve quindi prevedere dei protocolli specifici per la prevenzione dei reati presupposto verificabili nello svolgimento delle proprie attività.
Prendendo spunto dai controlli suggeriti dall’Annex A della ISO 27001 e dalle linee guida di implementazione di cui alla ISO 27002 l’Ente dovrebbe dotarsi almeno dei seguenti protocolli:
- Gestione degli asset: l’Ente deve identificare gli asset rilevanti nel ciclo di vita delle informazioni e documentare la loro importanza, considerando anche i supporti rimovibili. Il ciclo di vita delle informazioni negli asset deve tenere in considerazione la creazione, l’elaborazione, l’archiviazione, la trasmissione, la cancellazione e la distruzione. Devono quindi essere stabilite le regole per l’uso accettabile degli asset, documentate e implementate e ciascun dipendente deve essere formato e responsabilizzato in materia. Infine, devo esser stabilite modalità e condizioni di restituzione degli asset.
- Controllo degli accessi: l’Ente deve stabilire una politica di controllo degli accessi fisici e logici alle informazioni da rendere nota agli utenti interni ed ai fornitori di servizi che accedono. La politica dovrebbe tenere conto di quanto segue:
- requisiti di sicurezza delle applicazioni aziendali;
- politiche per la diffusione e l’autorizzazione delle informazioni;
- coerenza tra i diritti di accesso e le politiche di classificazione delle informazioni;
- legislazione pertinente ed eventuali obblighi contrattuali in materia di limitazione dell’accesso ai dati o servizi;
- gestione dei diritti di accesso in un ambiente distribuito e in rete che riconosca tutti i tipi di connessioni disponibili;
- segregazione dei ruoli di controllo degli accessi, es. richiesta di accesso, autorizzazione di accesso, amministrazione dell’accesso;
- requisiti per l’autorizzazione formale delle richieste di accesso;
- requisiti per la revisione periodica dei diritti di accesso;
- rimozione dei diritti di accesso;
- archiviazione delle registrazioni di tutti gli eventi significativi riguardanti l’uso e la gestione delle identità degli utenti e delle informazioni segrete di autenticazione;
- ruoli con accesso privilegiato.
- Sicurezza fisica e ambientale: L’Ente deve definire i perimetri per proteggere le aree che contengono informazioni sensibili o critiche e le strutture di elaborazione delle informazioni. Il livello di sicurezza di ciascun perimetro deve essere commisurato ai requisiti di sicurezza delle risorse all’interno del perimetro e ai risultati di una valutazione del rischio. I perimetri di un edificio o di un sito contenente strutture di elaborazione delle informazioni devono essere fisicamente sani; il tetto esterno, le pareti e la pavimentazione del sito devono essere di costruzione solida e tutte le porte esterne devono essere adeguatamente protette dall’accesso non autorizzato con meccanismi di controllo, (es. sbarre, allarmi, serrature); porte e finestre dovrebbero essere chiuse a chiave quando incustodite e dovrebbe essere presa in considerazione una protezione esterna per le finestre, in particolare a livello del suolo.
- Controlli operativi: l’Ente deve stabilire una serie di controlli operativi inerenti i processi critici per la sicurezza delle informazioni. In particolare, dovrebbe dotarsi di procedure interne per il controllo:
- dell’installazione e la configurazione dei sistemi;
- dell’elaborazione e gestione delle informazioni sia automatizzata che manuale;
- dei backup;
- della gestione di errori o degli incidenti;
- della gestione dei cambiamenti rilevanti per la sicurezza delle informazioni;
- della protezione dai malware;
- della gestione della rete;
- della gestione del trasferimento delle informazioni;
- dei fornitori.
Aggiornamento delle procedure e dei controlli
L’Ente deve programmare e organizzare l’aggiornamento delle procedure e dei controlli operativi al fine di assicurare la continua idoneità, adeguatezza ed efficacia delle misure adottate per la prevenzione dei reati informatici.
La revisione dovrebbe includere la valutazione delle opportunità di miglioramento e la necessità di modifiche all’approccio alla sicurezza, inclusi gli obiettivi della politica e del controllo. Le persone che eseguono queste revisioni devono avere le capacità e l’esperienza appropriate.
Conclusioni
Nonostante siano passati 20 anni dall’emanazione del D.lgs. 231/2001, ad oggi solo lo 0,5% delle imprese Italiane si è dotata di un modello organizzativo. Il dato è allarmante, tanto più se si considera che il 95% delle aziende è di piccole dimensioni e quindi una sanzione ex D.lgs. 231 potrebbe rivelarsi rovinosa.
L’introduzione dei reati informatici nel novero dei reati presupposto è un chiaro segnale della delicatezza e criticità rivestita dal tema della sicurezza delle informazioni.
Un dato positivo sono i numerosi incentivi statali e regionali a sostegno sia dell’implementazione dei Modelli 231 che delle certificazioni. Si auspica quindi che le imprese italiane inizino ad adottare un approccio preventivo a fronte di scenari di rischio crescenti oramai in maniera esponenziale.