PARTE SPECIALE D REATI DI CRIMINALITA INFORMATICA: Delitti informatici e trattamento illecito di dati. Art bis D. Lgs.

Transcript

1 PARTE SPECIALE D REATI DI CRIMINALITA INFORMATICA: Delitti informatici e trattamento illecito di dati Art bis D. Lgs. 231/ Ediz. - C.d.A pag. 1/10 Parte Speciale D

2 INDICE 1 - DESCRIZIONE DEI REATI Falsità in un documento informatico pubblico o avente efficacia probatoria (art bis c.p. ) Accesso abusivo ad un sistema informatico o telematico (art ter c.p.) Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art quater c.p.) Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art quinquies c.p.) Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art quater c.p.) Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art quinquies c.p.) Danneggiamento di informazioni, dati e programmi informatici (art bis c.p.) Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo stato o da altro ente pubblico o comunque di pubblica utilità (art ter c.p.) Danneggiamento di sistemi informatici o telematici (art quater c.p.) Danneggiamento di sistemi informatici o telematici di pubblica utilità (art quinquies c.p.) Frode informatica del certificatore di firma elettronica (art quinquies c.p.) ART BIS DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI PROCESSI A RISCHIO PRINCIPI GENERALI DI COMPORTAMENTO E DI ATTUAZIONE PRINCIPI PROCEDURALI SPECIFICI DIVIETI SPECIFICI Ediz. - C.d.A pag. 2/10 Parte Speciale D

3 DELITTI INFORMATICI 1 - DESCRIZIONE DEI REATI L art. 7 della legge n. 48/2008 ha introdotto nel Decreto Legislativo 231/2001 l art bis che estende la responsabilità amministrativa dell ente ai Delitti informatici e trattamento illecito di dati commessi con violazione del codice penale. I reati contemplati nel suddetto articolo sono i seguenti: 1.1. Falsità in un documento informatico pubblico o avente efficacia probatoria (art bis c.p. ) Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. Tale ipotesi di reato si configura nel caso in cui un rappresentante o un dipendente della Società falsifichi un documento informatico pubblico o privato avente efficacia probatoria. Ciò potrebbe, in astratto, concretizzarsi durante le fasi di trasmissione telematica di documenti o richieste di autorizzazione (modelli fiscali, previdenziali e contributivi, documenti amministrativi societari, legali ecc.) ai diversi Enti della Pubblica Amministrazione. Per documento informatico s intende la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti così come riportato dall art. 1 lettera p) del decreto legislativo n 82 del 7 marzo 2005 (Codice dell Amministrazione Digitale) Accesso abusivo ad un sistema informatico o telematico (art ter c.p.) Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio. In ADR tale ipotesi di reato potrebbe configurarsi in astratto durante le fasi operative di ricevimento dei dati relativi alle attività Aviation, acquisiti tramite sistemi informatici e/o 1 Ediz. - C.d.A pag. 3/10 Parte Speciale D

4 telematici. Altre fattispecie che in astratto potrebbero realizzare il reato in esame riguardano l accesso ai sistemi informatici aziendali (p.e.: server) da parte di dipendenti della Società e di terzi, entrambi privi delle necessarie autorizzazioni Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art quater c.p.) Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a euro La pena è della reclusione da uno a due anni e della multa da euro a euro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617- quater. Per questa tipologia di reato, la sua potenziale realizzazione potrebbe avvenire nell ambito della gestione dei processi informatici e nella gestione degli account. Inoltre, tenuto conto della particolare tipologia di dati che vengono processati dalla società nell ambito delle attività operative Aviation (gestione voli), un potenziale rischio può venire durante la connessione nei sistemi informatici e/o telematici protetti Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art quinquies c.p.) Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l interruzione, totale o parziale, o l alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro Questa tipologia di reato, potrebbe realizzarsi in astratto nell ambito delle attività informatiche (processo informatico), attraverso la diffusione di programmi di virus all interno dei sistemi informatici. Come per le altre tipologie di reato, anche per questa tipologia di reato si ritiene improbabile in azienda la sua realizzazione, tenuto anche conto che mancherebbe, di fatto, l interesse e/o il vantaggio per la Società Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art quater c.p.) Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma. I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa. Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso: 1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o 1 Ediz. - C.d.A pag. 4/10 Parte Speciale D

5 con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema; 3) da chi esercita anche abusivamente la professione di investigatore privato. Questa tipologia di reato è stata valutata non realizzabile in azienda Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art quinquies c.p.) Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617-quater. Come per il reato di cui al punto precedente, anche la presente tipologia è stata valutata non realizzabile in azienda Danneggiamento di informazioni, dati e programmi informatici (art bis c.p.) Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d ufficio. Sebbene la possibilità che tale reato si realizzi in azienda è stata valutata improbabile, in astratto l ambito nel quale il reato può realizzarsi è nei collegamenti con i sistemi informatici di terzi durante la trasmissione dei dati operativi Aviation e quelli di natura Amministrativa Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo stato o da altro ente pubblico o comunque di pubblica utilità (art ter c.p.) Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata. Come per le altre tipologie di reato di cui all art. 635 c. p., in azienda l ambito nel quale, in astratto, tale reato può realizzarsi riguarda i collegamenti con la P.A. e le Autorithies in fase di trasmissione di dati e ottenimento di autorizzazioni Danneggiamento di sistemi informatici o telematici (art quater c.p.) Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all articolo 635-bis, ovvero attraverso l introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o 1 Ediz. - C.d.A pag. 5/10 Parte Speciale D

6 telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata. Per questo reato valgono le stesse considerazioni riportate per la tipologia di reato di cui al punto Danneggiamento di sistemi informatici o telematici di pubblica utilità (art quinquies c.p.) Se il fatto di cui all articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni. Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata. Anche per questa tipologia di reato valgono le stesse considerazioni espresse al punto 1.4. Tuttavia, tenuto conto che parte dei sistemi informatici aziendali sono collegati a quelli di società che svolgono attività di pubblica utilità, l ambito nel quale in astratto può realizzarsi tale reato si estende anche alle attività operative in campo Aviation Frode informatica del certificatore di firma elettronica (art quinquies c.p.) Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a euro. Tale tipologia di reato è stata valutata irrealizzabile in azienda, per la mancanza dei presupposti. 2 - ART BIS DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI 1. In relazione alla commissione dei delitti di cui agli articoli 615 ter, 617 quater, 617 quinquies, 635 bis, 635 ter, 635 quater e 635 quinquies del codice penale, si applica all ente la sanzione pecuniaria da cento a cinquecento quote. 2. In relazione alla commissione dei delitti di cui agli articoli 615 quater e 615 quinquies del codice penale, si applica all ente la sanzione pecuniaria sino a trecento quote. 3. In relazione alla commissione dei delitti di cui agli articoli 491 bis e 640 quinquies del codice penale, salvo quanto previsto dall articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all ente la sanzione pecuniaria sino a quattrocento quote. 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna 1 Ediz. - C.d.A pag. 6/10 Parte Speciale D

7 per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall articolo 9, comma 2, lettere c), d) ed e). 3 - PROCESSI A RISCHIO Da una valutazione delle tipologie di reati di cui all art bis, si distinguono quelli che, attraverso l accesso abusivo, hanno come finalità il danneggiamento o l intercettazione telematica dei sistemi informatici sia interni (quelli aziendali), che esterni (reti informatiche di terzi), da quelli che hanno come finalità la creazione di falsi documenti informatici o la frode informatica per la certificazione di firma digitale. Dalla distinzione sopra operata, in ADR S.p.A., si ritiene di escludere per mancanza di presupposti, il reato riguardante la frode informatica del certificatore di firma elettronica. Quanto ai reati relativi l intercettazione telematica dei sistemi informatici, la diffusione di apparecchiature o programmi informatici diretti a danneggiare o interrompere un sistema informatico ed il danneggiamento di informazioni, dati, programmi e sistemi informatici, ancorché se ne ritenga improbabile la commissione, tenuto anche conto che gli stessi non sembrerebbero apportare alcun vantaggio o interesse per la società, non possono in linea teorica escludersi, tant è che ADR S.p.A. si è dotata di specifiche misure di protezione volte ad impedire accessi ai sistemi ed alle reti aziendali, non consentiti e/o non autorizzati, sia da parte di dipendenti che di terzi, e ad impedire l installazione di programmi che possano arrecare danno alla rete e ai sistemi aziendali. Solo a fini prudenziali, inoltre, in considerazione della diffusione ed utilizzo in tutta l azienda degli strumenti informatici, si ritiene che i reati che abbiano origine dall esterno della rete aziendale (accesso abusivo) e quelli che prevedono la falsificazione di documenti pubblici e/o quelli aventi efficacia probatoria possono, in astratto, essere commessi in occasione dei collegamenti con la P. A per la trasmissione di documenti a carattere pubblico. Anche per tali fattispecie di reato, la società ha rivisto le procedure trattamento dati in sicurezza e prevenzione reati informatici e gestioni stazioni lavoro, prevedendo, tra l altro le modalità di connessione alle reti informatiche pubbliche - alle quali possono accedere solo i soggetti muniti di delega - e di conservazione dei dati, nonché i controlli da svolgere per impedire comportamenti illeciti conseguenti all accesso abusivo al sistema informatico aziendale. In relazione alle valutazioni di cui sopra, sono stati individuati a rischio quei processi le cui attività prevedono un rapporto con la P.A. e con le Authorities attraverso l impiego di strumenti informatici o reti telematiche. Nello specifico si tratta dei seguenti processi: 1. Finanza; 2. Risorse Umane; 3. Legale e tributario; 4. Sicurezza; 5. Approvvigionamenti; 1 Ediz. - C.d.A pag. 7/10 Parte Speciale D

8 6. Stipula e gestione dei contratti di appalto; 7. Sistema informatico; 8. Amministrazione; 9. Sviluppo infrastrutture; 10. Regolazione dei beni e servizi di pubblica utilità; 11. Erogazione e Vendita dei Servizi agli Operatori Aeroportuali e ad altri Clienti; 12. Vendite dirette; 13. Rapporti con la P.A. e con le Authorities. Si è inoltre tenuto conto del rapporto con la società del Gruppo ADR Tel per le attività relative ai sistemi e servizi di Rete (effettuate a fronte di un contratto di service con ADR S.p.A.) svolte sulla base degli standard di sicurezza riportati nella specifica lettera di nomina a Responsabile esterno del trattamento. 4 - PRINCIPI GENERALI DI COMPORTAMENTO E DI ATTUAZIONE I Destinatari del Modello che concorrono, a vario titolo e con diverse responsabilità, nella gestione dei processi sopra riportati devono: attenersi a quanto disposto dal Codice Etico; adempiere alle disposizioni di leggi e regolamenti vigenti; operare nel rispetto dei poteri di rappresentanza e di firma sociale, delle deleghe e procure loro conferite; rispettare le prescrizioni previste dalle procedure di riferimento; rispettare le prescrizioni riportate nel Documento Programmatico della Sicurezza (D.P.S.); ottemperare alle istruzioni impartite dai superiori gerarchici; segnalare all O.d.V. eventuali azioni poste in essere in violazione a quanto previsto dal MODELLO. 5 - PRINCIPI PROCEDURALI SPECIFICI Tenuto conto che le fattispecie di reato indicate nella legge 48/2008 potrebbero verificarsi in diversi ambiti aziendali ovvero nei processi sensibili indicati al punto 2 del presente documento, e che potrebbero essere commesse da chiunque dei dipendenti e collaboratori che utilizzano i sistemi informatici, si è preferito far rientrare i suddetti processi in due categorie al fine di indicare, per ciascuna di queste, i principi di controllo specifici applicabili. Nella prima categoria confluisce il processo relativo alla gestione del sistema informatico che risulterebbe essere il più critico dato che in questo rientrano come sottoprocessi il presidio operativo e il funzionamento dei sistemi ICT. 1 Ediz. - C.d.A pag. 8/10 Parte Speciale D

9 Nella seconda categoria rientrano gli altri processi individuati sempre al punto 3 poiché si tratterebbe di processi le cui attività sono realizzate mediante l utilizzo di sistemi informatici e reti di telecomunicazione da parte dei dipendenti e collaboratori. Con riguardo al processo gestione del sistema informatico è necessario, in conformità alle previsioni della normativa vigente: Formalizzare un sistema di ruoli, poteri e deleghe in tema di sicurezza informatica che trovino rispondenza nel Manuale Organizzativo della società; Identificare il Responsabile della Sicurezza Informatica sulla base di una specifica e formalizzata disposizione organizzativa; Predisporre il progetto di sicurezza informatica che contenga le modalità di conservazione dei dati; Elaborare il Documento Programmatico della sicurezza (D.P.S.); Predisposizione di un Piano di Continuità Operativa finalizzato a garantire l integrità e la disponibilità dei dati e delle informazioni in ogni circostanza; Predisposizione di una procedura che preveda la classificazione di tutti i sistemi informatici (elaboratori, terminali, strumenti di rete, accessori ecc) finalizzata a individuare per tipologia di strumento le modalità di utilizzo e le modalità dei controlli da effettuare; Predisposizione di una procedura da estendere a tutto il personale, per la rilevazione e la tempestiva segnalazione degli incidenti di sicurezza. Tale procedura deve indicare le azioni da compiere e la condotta da seguire, il personale o le funzioni aziendali da contattare e le modalità di segnalazione degli incidenti; Predisposizione di una procedura che regolamenti le modalità i accesso e di utilizzo dei sistemi informatici; Prevedere nei contratti con terze parti l introduzione di specifiche clausole a previsione delle politiche e procedure di sicurezza informatica volte a prevenire i rischi dovuti alle connessioni esistenti con i loro sistemi; Predisporre idonee procedure che disciplinino le attività di controllo sui sistemi e strumenti informatici nel rispetto della privacy e dello Statuto dei lavoratori; Monitorare sistematicamente le attività di controllo svolte dalla società controllata ADR Tel durante lo svolgimento dei servizi erogati. Riguardo all altra categoria, nella quale confluiscono tutti gli altri processi sensibili riportati al punto 2 del presente documento, i Destinatari devono procedere: a osservare le misure di prevenzione e protezione previste dal Documento Programmatico di Sicurezza (D.P.S.); a osservare le norme di legge e le disposizioni aziendali in materia di privacy per il corretto trattamento dei dati informatici; a informare tempestivamente l Organismo di Vigilanza, tramite i canali dedicati, di eventuali o sospette violazioni consultare i rappresentanti dei lavoratori per la sicurezza (RLS) secondo la normativa vigente; Inoltre, nelle attività in cui c è il coinvolgimento della P.A. o delle Authorities i soggetti devono attenersi alle istruzioni impartite dai loro superiori e i collegamenti devono avvenire solo da parte di personale autorizzato e tramite i canali informatici dedicati, mantenendo sempre copia della documentazione scambiata con le relative ricevute. 1 Ediz. - C.d.A pag. 9/10 Parte Speciale D

10 Inoltre, tutto il personale dipendente e i collaboratori dovranno scrupolosamente osservare i divieti specifici di cui al paragrafo seguente. 6 - DIVIETI SPECIFICI Ai principi generali e specifici sopra descritti, i Destinatati dovranno osservare i seguenti divieti: introdursi abusivamente in un sistema informatico o telematico protetto da misure di sicurezza ovvero mantenervisi contro la volontà espressa o tacita di chi ha il diritto di escluderlo; procurarsi, riprodurre, diffondere, comunicare o consegnare abusivamente codici, parole chiave o altri mezzi idonei all accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o fornire misure idonee al predetto scopo; intercettare fraudolentemente comunicazioni relative ad un sistema informatico o telematico intercorrenti tra più sistemi, ovvero impedirle o interromperle; distruggere, deteriorare, cancellare alterare o sopprimere informazioni, dati o programmi informatici altrui o della Pubblica Amministrazione o comunque di pubblica utilità; alterare propri supporti informatici al fine presentare dichiarazioni non veritiere a organismi pubblici nazionali o comunitari al fine di conseguire erogazioni pubbliche, contributi o finanziamenti agevolati; alterare propri supporti informatici al fine di impedire lo svolgimento di controlli o verifiche da parte degli organi societari o da terzi; alterare i contenuti negli archivi informatici aziendali, al fine di modificare l informativa verso terzi; alterare i dati contenuti nelle banche dati esterne ai quali la società ha accesso; produrre documenti di qualunque genere o dichiarazioni non conformi alle risultanze del sistema informativo aziendale, dei dati contabili, delle deliberazioni degli organi societari, manipolando i supporti informatici; detenere materiale e dati inerenti lo sfruttamento della persona, soprattutto se minori, o accedere a siti internet che presentano tali dati ed immagini; adottare tecniche di Phising al fine di impossessarsi dei dati di terzi. 1 Ediz. - C.d.A pag. 10/10 Parte Speciale D