ALLEGATO B DELITTI INFORMATICI & TRATTAMENTO ILLECITO DEI DATI (ART 24 bis)

Transcript

1 MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.LGS 231/2001 ALLEGATO B DELITTI INFORMATICI & TRATTAMENTO ILLECITO DEI DATI (ART 24 bis) (rev.0 del 20/09/2010) LRQA Italy s.r.l. Via L. Cadorna, Vimodrone (Mi)

2 INDICE B1_ Reati di cui all art 24 bis del Dlgs 231. Possibili modalità di commissione... 1 B2_ Aree potenzialmente a rischio. Attività sensibili.reati prospettabili... 2 B3_ Individuazione delle aree strumentali e ruoli aziendali coinvolte. Controlli esistenti... 3 B4_ Principi generali di comportamento... 3 B5_ I compiti dell Organismo di vigilanza

3 B1_ Reati di cui all art 24 bis. Possibili modalità di commissione Si riporta di seguito una sintetica descrizione dei reati richiamati nell art. 24bis del Decreto 231/01, nonché una breve esposizione delle possibili modalità di attuazione dei reati, fermo restando che, ai sensi dell art. 26 del Decreto, la Società potrebbe essere considerata responsabile anche qualora le fattispecie siano integrate nella forma del tentativo. I reati analizzati sono quelli che risultano essere potenzialmente interessati nell attività operativa di LRQA ITALY srl. Accesso abusivo ad un sistema informatico o telematico (art. 615 ter cod. pen.) Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. La norma non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi informatici protetti, ma offre una tutela più ampia che si concreta nello "ius excludendi alios", quale che sia il contenuto dei dati racchiusi in esso, purché attinente alla sfera di pensiero o all'attività, lavorativa o non, dell'utente; con la conseguenza che la tutela della legge si estende anche agli aspetti economico-patrimoniali dei dati sia che titolare dello "ius excludendi" sia persona fisica, sia giuridica, privata o pubblica, o altro ente. L art. 1 della Convenzione di Budapest chiarisce che per "sistema informatico" si considera qualsiasi apparecchiatura, dispositivo, gruppo di apparecchiature o dispositivi, interconnesse o collegate, una o più delle quali, in base ad un programma, eseguono l elaborazione automatica di dati. Nel medesimo articolo è contenuta la definizione di dato informatico, che descrive il concetto derivandolo dall uso: qualunque rappresentazione di fatti, informazioni o concetti in forma idonea per l elaborazione con un sistema informatico, incluso un programma in grado di consentire ad un sistema informativo di svolgere una funzione. Sanzione prevista: sanzione pecuniaria massimo 500 quote e sanzione interdittiva fino a un massimo di 2 anni Diffusione ed installazione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art 615 quinquies cod. pen.) Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento. Sanzione prevista: sanzione pecuniaria massimo 300 quote e sanzione interdittiva fino a un massimo di 2 anni Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617 quater cod. pen.) Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe. 1 di 4

4 Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma. Sanzione prevista: sanzione pecuniaria massimo 500 quote e sanzione interdittiva fino a un massimo di 2 anni. Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617 quinquies cod. pen.) Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico ovvero intercorrenti tra più sistemi. Sanzione prevista: sanzione pecuniaria massimo 300 quote e sanzione interdittiva fino a un massimo di 2 anni. Danneggiamento di informazioni, dati e programmi informatici ( art 635 bis cod pen) Chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo che il fatto costituisca più grave reato. Sanzione prevista: sanzione pecuniaria massimo 500 quote e sanzione interdittiva fino a un massimo di 2 anni. Danneggiamento di sistemi informatici o telematici ( art 635 quater cod pen) Salvo che il fatto non costituisca più grave reato, chiunque, mediante le condotte di cui all art. 635bis c.p., ovvero attraverso l introduzione o la trasmissione di dati, informazioni o programmi, rende, il tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento. Sanzione prevista: sanzione pecuniaria massimo 600 quote e sanzione interdittiva fino a un massimo di 2 anni B2_ Aree potenzialmente a rischio. Attività sensibili. Reati prospettabili In occasione dell implementazione dell attività di analisi del rischio compimento reati, sono state individuate, nell ambito della struttura organizzativa di LRQA ITALY srl, delle aree considerate a rischio, ovvero dei settori e/o dei processi aziendali rispetto ai quali è stato ritenuto astrattamente sussistente il rischio di commissione dei delitti informatici e trattamento illecito dei dati. Nell ambito di ciascuna area a rischio, sono state, inoltre, individuati i Ruoli Aziendali coinvolti e le relative attività nominate sensibili. Sono stati, infine, individuati i principali controlli che insistono su ciascuna area a rischio. Di seguito è riepilogato il quadro in precedenza esposto. Gestione Sistemi Informativi Ruoli e direzioni coinvolte Amministratore di sistema 2 di 4

5 Attività sensibili a) Gestione dell'attività di manutenzione dei sistemi esistenti b) Gestione dell'attività di elaborazione dei dati c) Gestione della sicurezza informatica sia a livello fisico che a livello logico d) Configurazione delle security policy dei firewall ai fini della tutela da intrusioni esterne e) Gestione e protezione dei back up dei dati f) Gestione e controlli delle licenze h) Gestione utilizzo strumenti e software Controlli esistenti Nell'espletamento delle rispettive attività/funzioni, oltre alle regole definite nel Modello e nei suoi protocolli (sistema delle procure, Codice Etico, ecc.), i soggetti aziendali che svolgono le loro mansioni all interno della presente area strumentale sono tenuti al rispetto delle Policy di gruppo sulla gestione e utilizzo dei sistemi informatici e dei seguenti controlli: 1. Il sistema informatico e la rete è gestita da Londra dal Lloyd s Register Quality Assurance Ltd che ricopre anche il ruolo di amministratore di sistema 2. L'accesso alla rete ai sistemi aziendali è soggetto ad autenticazione mediante l'uso di UserID e Password. La password è soggetta a criteri di gestione che ne impongono il cambiamento dopo un trascorso periodo di tempo. 3. Regola per attribuzione degli accessi e formalizzazione dei profili assegnati dall IT su indicazione dell ufficio personale 4. Procedura standardizzata e documentata per la gestione dei backup dei dati dei server e verifiche dell utilizzabilità dei back up stessi; 5. Policy aziendali sull utilizzo di strumenti hardware e dei software 6. Mappatura da Londra di tutte le nuove installazioni di software sui sistemi informatici. B3_Individuazione delle aree strumentali e ruoli aziendali coinvolte. Controlli esistenti NON PREVISTE B.4. I principi generali di comportamento I responsabili coinvolti nelle aree a rischio e/o in quelle strumentali sono tenuti, nell ambito della propria attività, al rispetto delle norme di comportamento di seguito indicate, conformi ai principi dettati dal Modello e, in particolare, dal Codice Etico di LRQA ITALY srl. E fatto assoluto divieto di: - porre in essere, collaborare o dare causa alla realizzazione di comportamenti tali da integrare le fattispecie di reato richiamate nel presente Allegato; - porre in essere, collaborare o dare causa alla realizzazione di comportamenti i quali, sebbene risultino tali da non costituire di per sé reato, possano potenzialmente diventarlo. In particolare è fatto obbligo: - ai dipendenti, dirigenti di attenersi alle policy di gruppo in materia di trattamento di dati informatici. Pertanto, è nello specifico fatto divieto: 3 di 4

6 - ai dipendenti, dirigenti e collaboratori di installare nella rete aziendale un proprio software che non rientri nello scopo per cui il sistema informatico è stato assegnato all utente, al fine di evitare il rallentamento o il blocco della rete informatica aziendale; - ai dipendenti, dirigenti e collaboratori di installare nella rete aziendale un proprio software che possa impedire o interrompere o danneggiare le comunicazioni informatiche aziendali ovvero l intero sistema informatico aziendale. - ai dipendenti, dirigenti e collaboratori di installare nella rete aziendale un proprio software senza licenza e comunque non autorizzato. E, comunque, necessario: - che sia garantito il rispetto del Codice Etico - che tutte le attività e le operazioni svolte per conto di LRQA ITALY srl siano improntate al massimo rispetto delle leggi vigenti, nonché dei principi di correttezza e trasparenza. Nel Documento Programmatico sulla Sicurezza (DPS) sono analizzate le situazioni aziendali ed organizzate le procedure a garanzia della sicurezza nei trattamenti dei dati. In particolare, per quel che riguarda il rischio analizzato nel presente capitolo, è svolta l analisi: - delle misure di sicurezza per i trattamenti informatici; - delle persone autorizzate al trattamento dei dati; - dei sistemi anti-intrusione; B.5. I compiti dell Organismo di Vigilanza Pur dovendosi intendere qui richiamati, in generale, i compiti assegnati all OdV nel documento approvato dal BOARD e denominato Regolamento dell OdV, in relazione alla prevenzione dei reati di cui alla presente parte speciale, l OdV, tra l altro, deve: - verificare l'osservanza, l'attuazione e l'adeguatezza del Modello rispetto all esigenza di prevenire la commissione delitti informatici e trattamento illecito dei dati, previsti dal D.Lgs. n. 231/2001; - vigilare sull effettiva applicazione del Modello e rilevare gli scostamenti comportamentali che dovessero eventualmente emergere dall'analisi dei flussi informativi e dalle segnalazioni ricevute; - verificare periodicamente, con il supporto delle altre funzioni competenti, il sistema di deleghe e procure in vigore, proponendo modifiche nel caso in cui il potere di gestione non corrisponda ai poteri di rappresentanza conferiti al responsabile interno o ai suoi sub responsabili, nonché le procedure aziendali vigenti; - comunicare eventuali violazioni del Modello agli organi competenti in base al Sistema Disciplinare, per l'adozione di eventuali provvedimenti sanzionatori; - curare il costante aggiornamento del Modello, proponendo agli organi aziendali di volta in volta competenti l adozione delle misure ritenute necessarie o opportune al fine di preservarne l adeguatezza e/o l effettività. L OdV deve comunicare i risultati della propria attività di vigilanza e controllo in materia di reati informatici al BOARD secondo i termini indicati nel documento Regolamento dell OdV. 4 di 4