La crisi economica del continente europeo causata dell’epidemia di Covid-19 che ha già messo in ginocchio parecchie nazioni, tra cui l’Italia, potrebbe avere come effetto secondario una proliferazione di reati informatici a scopo di lucro.
Inoltre, con il dilagare del lavoro in modalità smart working che si è resa necessaria per impedire ulteriori contaminazioni, le aziende potrebbero perdere il controllo dei propri perimetri e delle misure tecniche e organizzative adottate, conseguenza ancor più probabile quando il lavoro svolto dall’abitazione è effettuato in modalità BYOD (Bring Your Own Device), cioè utilizzando i device dei dipendenti.
Indice degli argomenti
Reati informatici e D.lgs. 231/2001: contesto normativo
In particolare, è utile prendere in esame i reati informatici contemplati nel D.lgs. 231/01 che trae la sua origine come legge anticorruzione. Successivamente, il legislatore italiano ne ha ampliato i confini.
Nel 2001 detti reati non erano contemplati in questa normativa, (vi era solo il reato di “frode informatica a danno di enti pubblici”) hanno fatto il loro ingresso nel 2008 a seguito della Legge 48/2008 che ha ratificato la Convenzione di Budapest del Consiglio d’Europa sul cyber crime apportando alcune modifiche al codice penale e a quello procedurale penale e di conseguenza al D.lgs. 231/01 introducendo, fra i reati presupposto, tale fattispecie.
L’ente (inteso come soggetto munito di personalità giuridica e società ed associazioni anche prive di personalità giuridica ad eccezione dello Stato, enti pubblici territoriali, entri pubblici non economici, enti che svolgono funzioni di rilevanza costituzionale) ha dunque una responsabilità penale derivante da illeciti amministrativi.
Nella Parte I “Diritti e doveri dei cittadini” – Titolo I (Rapporti civili), l’articolo 27 della nostra Costituzione sancisce che la responsabilità penale è personale. Il decreto legislativo 231/2001 ha però introdotto una rivoluzione in quanto, in deroga al principio “Societas deliquere non postest”, la responsabilità degli enti, in caso di violazioni, ha natura penale.
Questo ha suscitato filoni della dottrina giuridica spesso non omogenei ed è altresì il motivo per cui troviamo spesso la coesistenza di definizioni di “responsabilità amministrativa degli enti” e di “responsabilità penale degli enti” in rapporto al decreto in esame.
In aggiunta sottolineo il fatto che, a livello pratico, diventa impossibile “mettere in manette” una società (solo un singolo individuo può essere punito con la reclusione): di conseguenza, in caso di violazioni, il procedimento penale si traduce in sanzioni di natura pecuniaria.
Detta responsabilità, per l’ente, è inerente ai reati posti in essere da soggetti in posizione apicale (art. 5 c.1 lett. a) o soggetti sottoposti alla direzione di un apicale (art. 5 c.1 lett. b), per illeciti condotti nell’interesse e/o a vantaggio dell’ente dove interesse e vantaggio sono da intendersi come due condizioni indipendenti non necessariamente coesistenti: è sufficiente un interesse (come tale valutabile a priori) o un vantaggio (valutabile a posteriori) per far scattare la responsabilità.
Doveroso aggiungere che se il reato è commesso da soggetto in posizione apicale la colpa dell’ente è presunta (successivamente l’organizzazione dovrà adoperarsi nel provare eventuali condizioni di esonero) mentre nel caso di commissione da parte di un soggetto sottoposto, l’ente sarà responsabile se l’illecito è stato reso possibile dall’inosservanza degli obblighi di direzione o vigilanza.
Il sistema sanzionatorio
Il sistema sanzionatorio del D.lgs. 231/01, a livello di importo, potrebbe sembrare di importo “contenuto” in confronto alle sanzioni in caso di violazioni dettate nel GDPR (v. Articolo 83) che in alcuni casi potrebbero raggiungere l’importo di 10 o 20 milioni di euro (secondo il tipo di infrazione) o al 2% o 4% del fatturato mondiale annuo riferito all’esercizio precedente.
Un sistema sanzionatorio di minor importo, dunque, in quanto la somma può arrivare ad un massimo di poco più di 1,5 milioni di euro secondo un sistema basato su quote fissate in prima valutazione dal giudice che ne determina il numero (non inferiore a 100 e non superiore a 1000) e, in seconda valutazione, dall’organo giurisdizionale a cui spetta il compito di stabilire il valore pecuniario della quota il cui ammontare massimo è di 1549 euro, stabilito in considerazione di alcune variabili: gravità del reato, grado di responsabilità dell’ente, volontà e azioni riparatorie e azioni di riorganizzazione aziendale.
Da qui la determinazione del caso di massimo importo citato poc’anzi: 1.549*1.000=1.549.000 di euro. È però bene precisare che, se detto importo potrebbe sembrare irrisorio ad una grande e solida multinazionale, non sarebbero affatto irrisori altri effetti che un reato delle fattispecie elencate nel decreto potrebbe comportare:
- sanzioni interdittive
- confisca
- pubblicazione della sentenza
Le sanzioni interdittive prevedono un vero e proprio fermo dell’esercizio dell’attività a cui si possono aggiungere la sospensione o revoca di autorizzazioni, licenza o concessioni; il divieto di contrattare con la pubblica amministrazione (con talune eccezioni legate all’erogazione di prestazioni di un pubblico servizio); l’esclusione da finanziamenti, sussidi, agevolazioni e l’eventuale revoca di quelli già concessi; il divieto di pubblicizzazione dei propri servizi e/o prodotti.
Appare chiaro che una sanzione interdittiva blocca quasi totalmente l’attività di un Ente a cui dobbiamo aggiungere una grave conseguenza di reputazione (ancor più grave se il reato viene commesso da una società che produce soluzioni anti-intrusion, antivirus, analisi di vulnerabilità ecc.) e che, in molti casi, potrebbe tradursi in una totale uscita dal mercato.
Se il reato fosse commesso da Amministratori di Sistema, potrebbero inoltre esserci delle aggravanti. L’AdS è infatti un professionista a cui risulterebbe molto facile commettere un illecito e successivamente cancellarne le tracce, ragion per cui, le azioni di questa figura professionale devono poter essere in qualche modo controllate/verificabili secondo le disposizioni di quanto disposto dal Garante (Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema).
Una violazione del D.lgs. 231 potrebbe quindi mettere in luce altre violazioni di altra natura: nel caso appena preso in esame potrebbero essere evidenziate carenze come, per esempio, una mancanza di access log, che devono essere trattati con particolari criteri per garantirne la completezza, integrità, l’inalterabilità e la possibilità di tracciare ogni evento.
Le fattispecie dei reati informatici
Ma quali sono i reati informatici contemplati dal decreto? Qui di seguito l’elenco.
| Art. 491 bis c.p. | falsità in un documento informatico |
| Art. 615 ter c.p. | accesso abusivo ad un sistema informatico o telematico |
| Art. 615 quater c.p. | detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici |
| Art. 615 quinquies c.p. | diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche |
| Art. 617 quater c.p. | intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche |
| Art. 635 bis c.p. | danneggiamento di informazioni, dati e programmi informatici |
| Art. 635 ter c.p. | danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità |
| Art. 635 quater c.p. | danneggiamento di sistemi informatici o telematici |
| Art. 635 quinquies c.p. | danneggiamento di sistemi informatici o telematici di pubblica utilità |
| Art. 640 quinquies c.p. | frode informatica del certificatore di firma elettronica |
Qualche esempio pratico di ipotetico reato secondo le disposizioni di cui sopra:
- CASE 1 – Art. 615-ter c.p. – Una figura commerciale che opera nel settore MKT compie un accesso abusivo ad un sistema informatico di un’azienda concorrente al fine di acquisire informazioni sui clienti e sulle strategie commerciali.
- CASE 2 – Art. 615-quater c.p. – Un amministratore di sistema utilizza le password di accesso alle caselle e-mail dei dipendenti al fine di controllare le loro attività.
Risulta evidente nel primo caso come l’interesse della figura commerciale che potrebbe ricevere un aumento o avanzamento di carriera coincida anche con un interesse/vantaggio all’azienda. Nel secondo caso invece vi sarebbe un interesse/vantaggio per l’ente ed anche una grave violazione delle leggi in materia di Privacy e dello Statuto dei lavoratori.
Sorge spontanea la seguente domanda: ma l’azienda è sempre responsabile? La risposta è: non i tutti casi. L’ente potrebbe essere esente da responsabilità se prova, ad esempio, di aver adottato un modello di organizzazione, gestione e controllo (“MOGC”) adeguato, o se la persona che ha commesso il reato è riuscita a commetterlo eludendo fraudolentemente il modello. Le sanzioni potrebbero essere in taluni casi evitate, in altri, notevolmente ridotte se l’ente si è adoperata per risarcire totalmente il danno e le conseguenze provocate dall’illecito.
Appare evidente che nei reati 231 (come pure nel GDPR del resto) la dimostrazione di aver adottato le misure logiche e organizzative idonee è fondamentale.
Soluzioni per prevenire i reati
Le soluzioni che consentono di evitare tali reati si possono così sinteticamente riassumere:
- dotarsi di un modello di organizzazione, gestione e controllo (“MOGC”) che, ricordo, non ha in nessun caso carattere di obbligatorietà ma esplica un’efficace azione preventiva;
- implementare controlli e applicare misure tecniche e organizzative adeguate per prevenire tali fattispecie di frodi e che, nella maggior parte dei casi risultano utili anche per la prevenzione di altri illeciti, per esempio di non conformità al GDPR;
- aderire a standard internazionali, in particolare allo standard ISO 27001 (norma internazionale per i Sistemi di Gestione della Sicurezza delle Informazioni denominata anche SGSI) e ISO27002 o altri standard in relazione a specifiche esigenze di Business (ad esempio un Cloud Provider potrà fare riferimento alle norme ISO/IEC 27017 e ISO/IEC 27001 (molto utile, a titolo di esempio, l’ Annex B della norma ISO /IEC 27017:2015 che ha riferimenti ai rischi per la sicurezza relativi al cloud computing e che ha un focus specifico sia sul cloud service customer (CSC) sia sul cloud service provider (CSP).
L’adesione a modelli di gestione e norme internazionali non è obbligatoria, non rende automaticamente l’ente “compliant” anche al GDPR e alla normativa Privacy nazionale (D.lgs. 196/2003 novellato dal D.lgs. 101/2018) e neppure esula l’organizzazione da altri adempimenti, se previsti: tuttavia questi modelli, norme e standard che agiscono in armonia rafforzando ancor di più la tutela dell’Ente sono quindi da considerarsi come efficaci sostegni per la protezione di organizzazioni di qualsivoglia dimensione.
Ricordo, infine, che i reati informatici non possono essere prevenuti esclusivamente attraverso misure tecniche, ma con un approccio olistico di criteri di sicurezza fisica, logica e organizzativa.
