INTRODUZIONE CHE COSA E IL D.LGS. 231/01? n GIUGNO 2014

Transcript

1 AUDIT INFORMATICO PER PREVENIRE I REATI INFORMATICI (ART. 24 BIS D.LGS. 231/01) E ANNULLARE LA RESPONSABILITÀ AMMINISTRATIVA DELL IMPRESA NEL RISPETTO DEL CODICE DELLA PRIVACY (D.LGS. 196/03) E DELLO STATUTO DEI LAVORATORI Dott. Ing. P. TRENTINI - Partner e Responsabile divisione Compliance tecnica per Medie e Grandi Imprese del Gruppo 2G - Esperto di Information Audit - Esperto di Safety ed Environmental Audit - Esperto di Sistemi di Gestione Qualità, Sicurezza, Ambiente, Energia e Rischi aziendali Dott. Ing. G. GAETANI - Direttore Generale Gruppo 2G Management Consulting - Esperto di Organizzazioni Aziendali Complesse - Progettista di Modelli Componente di Organismi di Vigilanza per Modelli Responsabile settore di lavoro di Ingegneria Forense INTRODUZIONE L organizzazione e la gestione di una Impresa (attività economica professionalmente organizzata al fine della produzione o allo scambio di beni o di servizi: art c.c.) richiede, oltre all abilità nell utilizzo delle classiche tecniche manageriali, anche una conoscenza di norme, leggi e regolamenti con relativo impatto sul suo sviluppo. In un momento di crisi quale quello che stiamo vivendo ciò significa introdurre modelli organizzativi e gestionali capaci di assorbire l impatto di norme e leggi e, al tempo stesso, di innovare il modo di fare impresa in un ambiente in continua evoluzione. Tutti i soggetti facenti parte della filiera siano essi produttori, confezionatori, distributori, trasportatori, importatori o venditori, possono essere chiamati a rispondere di violazioni poste in essere nello svolgimento della propria attività imprenditoriale. Nel caso specifico si tratta del rischio di commissione di alcuni dei delitti informatici e trattamento illecito dei dati introdotti dalla L. 48/2008 e che ha modificato l art. 24 del D.Lgs. 231/01 aggiungendo l art. 24 bis che inserisce tra i reati presupposto anche quelli informatici. CHE COSA E IL D.LGS. 231/01? Il D.Lgs. 231/01 individua la responsabilità amministrativa della Società limitatamente ai reati commessi dai propri amministratori, dirigenti o dipendenti nell interesse e a vantaggio della Società stessa. Pag. 1 di 6

2 Il D.Lgs. 231/01 mira, quindi, ad investire tutti gli operatori economici aziendali di una sorta di funzione di garanzia che sensibilizzi gli stessi a prevenire qualsiasi crimine all interno dell esercizio dell impresa secondo canoni etici e non contra legem. Le ipotesi di reato previste nel D.Lgs. 231 sono molto ampie e vanno da reati contro la Pubblica Amministrazione (es. corruzione, concussione, truffa, indebita percezione di erogazione, ecc.) ai reati in violazione delle norme antinfortunistiche. Ad oggi si contano 115 reati specifici! In particolare l art. 6 del D.Lgs. 231/01 prevede che se il reato è commesso da soggetti in posizione apicale (amministratori e dirigenti) è necessario che la Società provi che sia stato adottato il Modello di Organizzazione, Gestione e Controllo (MODELLO 231) idonei a prevenire reati della specie poi verificatasi e che il reato sia stato commesso eludendo fraudolentemente i protocolli preventivi, ed inoltre che non vi siano state omissioni o negligenze nell operato dell Organismo di Vigilanza. Risulta quindi necessario, anche se non obbligatorio, per la Società dotarsi di un MODELLO 231 caratterizzato da criteri di efficienza, praticabilità e funzionalità ragionevolmente in grado di limitare le probabilità di commissione di reati ricompresi nell area di rischio legata all attività dell impresa. Le sanzioni a cui la Società potrebbe andare incontro sono particolarmente pesanti e vanno dalla confisca del profitto per riparazione delle conseguenze del reato (sequestro conservativo, in sede cautelare) alle sanzioni pecuniarie calcolate con il sistema delle quote (il cui valore oscilla da 258 a euro, sulla base della gravità della responsabilità dell azienda), che possono variare per tipologia di reato (ad esempio, con riferimento ai reati in materia di salute e sicurezza sui luoghi di lavoro le sanzioni possono arrivare fino a euro), per arrivare infine alle sanzioni interdittive per un determinato periodo di tempo (da 3 a 24 mesi) dell attività e/o revoca di autorizzazione, licenze e concessioni fino al commissariamento e alla sospensione definitiva (morte della Società!). È prevista inoltre la pubblicazione della sentenza di condanna che può essere disposta in caso di applicazione di una sanzione interdittiva. Se l azienda adotta il MODELLO 231 può avere diversi benefici. Il beneficio principale è previsto esplicitamente dal D.Lgs. 231/01 che da la possibilità all azienda che ha realizzato il MODELLO 231 di invocare l esclusione o la limitazione della propria responsabilità derivante da uno dei reati presupposto. Ulteriori benefici sono quelli di natura operativa come ad esempio: maggiore chiarezza organizzativa e bilanciamento tra poteri e responsabilità; migliore cultura dei rischi e dei controlli sulle operazioni di business e di supporto in Azienda; selezione più rigorosa e conveniente dei fornitori; documentazione e stringente approvazione delle spese, anticipi, etc.; riduzione dei rischi di indisponibilità dei sistemi e/o dei dati e delle perdite conseguenti; miglioramento dell affidabilità delle comunicazioni sociali, del controllo dei soci, dei revisori e dei sindaci; ecc. DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI La Legge 18 marzo 2008 n. 48, che ha ratificato la Convezione del Consiglio d Europa sulla criminalità informatica (cd. Convenzione di Budapest), ha determinato un adeguamento della normativa del codice penale e del codice di rito in tema di reati informatici (ha modificato la L. 547/1993), ha integrato le modalità di accesso da parte delle forze dell ordine ai dati di traffico conservati dagli operatori di comunicazione elettronica (art. 132 D.Lgs 196/03) ed ha introdotto nel D.Lgs. 231/01 l art. 24 bis che estende la responsabilità amministrativa dell impresa anche ai cosiddetti reati di criminalità informatica. Pag. 2 di 6

3 I reati presupposto in tema di criminalità informatica, alcuni dei quali già esistenti nel nostro codice penale altri riformulati e altri ancora introdotti ex novo dalla L. 48/2008, sono i seguenti: - Art. 491 bis Falsità in Documenti informatici; - Art. 615 ter Accesso abusivo ad un sistema informatico o telematico; - Art. 615 quater Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici; - Art. 615 quinquies Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico; - Art. 617 quater Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche; - Art. 617 quinquies Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche; - Art. 635 bis Danneggiamento di informazioni, dati e programmi informatici; - Art. 635 ter Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità; - Art. 635 quater Danneggiamento di sistemi informatici o telematici; - Art. 635 quinquies Danneggiamento di sistemi informatici o telematici di pubblica utilità; - Art. 640 quinquies Frode informatica del soggetto che presta servizi di certificazione di firma elettronica; È finalizzato alla lotta alla criminalità informatica pure l art. 640 ter Frode informatica presente nel Decreto sin dalla sua emanazione all art. 24 in tema di reati contro la Pubblica Amministrazione. Pag. 3 di 6

4 Con riferimento alle modalità di compimento i reati possono essere suddivisi in categorie ben distinte e cioè: - Danneggiamento, accesso abusivo, diffusione di virus, materiali e informazioni illegali; questi atti possono essere compiuti verso l esterno attraverso infrastrutture aziendali da parte di soggetti apicali e/o soggetti sottoposti all altrui direzione. - Falsità in documenti informatici che possono essere commessi da soggetti dell azienda in caso di utilizzo di firma digitale. - Frode informativa del soggetto che presta servizi di certificazione di firma elettronica applicabile solo nel caso di una azienda che svolge il ruolo di certificazione. Nell ambito del MODELLO 231 particolare attenzione deve essere prestata alla redazione del risk assessment in cui, per ogni reato specifico (di cui quelli prima elencati) vengono individuate sia le attività sensibili che le funzioni e le risorse umane coinvolte nonché i protocolli di prevenzione del rischio di commissione del reato stesso. Al termine del processo di risk assessment deve essere indicato il tipo di controllo di presidio del rischio oltre che individuata la responsabilità dello stesso controllo e la periodicità con cui viene condotto. In collaborazione con il Responsabile Information Technologies (IT) della Società vengono altresì verificate le misure HW e SW messe in campo per soddisfare i requisiti essenziali di prevenzione dei reati. Prendiamo ad esempio il reato di cui all art. 615 ter c.p. Accesso abusivo ad un sistema informatico o telematico. La caratteristica di questo reato è tale per cui viene punita la condotta di cui si introduce abusivamente, ossia eludendo una qualsiasi forma di barriere ostative all accesso, in un sistema informatico o telematico protetto da misure di sicurezza. La protezione manifesta la volontà del titolare del sistema informatico di inibire a terzi l accesso al sistema stesso e la violazione della protezione rende il comportamento illecito. Le ipotesi di reato riguardano i soggetti che si introducono nel sistema informatico sia della società stessa che in sistemi informatici esterni per compiere operazioni tali da configurarsi ai sensi dell art. 5 co. 1 ex D.Lgs. 231/01 ( L ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio ). Il controllo per la prevenzione dei reati informativi deve essere condotta nel rispetto della Legge sulla Privacy (L. 196/2003), dello Statuto dei Lavoratori (L. 300/1970) nonché delle Linee Guida per l utilizzo della posta elettronica e di internet predisposta dal Garante per la protezione dei dati personali. Si tratta quindi di far convivere l esigenza di mettere in atto misure tali da rendere non ravvisabile una colpa di organizzazione da parte della Società a seguito di un eventuale reato informatico e contemporaneamente rispettare le leggi sopra citate. AUDIT INFORMATICO: ESEMPIO L audit viene condotto sia con controlli sull esistenza di idonei protocolli preventivi, sia sulla loro efficacia in funzione delle casistiche delle azioni che possono portare al compimento di un reato informatico di cui all art. 24 bis ex D.Lgs. 231/01. Pag. 4 di 6

5 Nell ambito delle casistiche consideriamo ad esempio l accesso abusivo al sistema della società per la diminuzione del credito dei Clienti o una maggiorazione dei costi dei servizi per realizzare un profitto illecito; oppure si può ipotizzare l accesso abusivo a sistemi informatici esterni allo scopo di acquistare informazioni (conoscere il portafoglio clienti del concorrente, conoscere l offerta economica del concorrente in una gara d appalto, ecc) o modificare le informazioni sul proprio conto (sistemi interbancari, enti previdenziali, ecc). Per prevenire questo specifico reato l audit deve verificare l efficacia dei protocolli preventivi e le misure HW e SW relativamente ad una serie di aspetti quali: gestione e uso delle password, modalità di effettuazione dei log in e logout, modalità di utilizzo dei supporti rimovibili, uso dei sistemi di protezione, inventario dell HW e del SW in uso agli utenti, procedure per il controllo degli accessi, tracciamento degli accessi alla rete aziendale, procedure per la rimozione dei diritti di accesso al termine del rapporto di lavoro, procedure formali per l assegnazione di privilegi speciali, tracciamento e monitoraggio degli eventi di sicurezza sulla rete. Si tratta quindi di verificare sia l idoneità dei protocolli di prevenzione ma anche le capacità di difesa delle reti e dei sistemi informatici aziendali individuando eventuali vulnerabilità presenti che potrebbero incrementare la percentuale di rischio di commissione dei reati presupposto. L audit sarà quindi condotto con una specifica check list in modo da formalizzare e documentare all Organismo di Vigilanza l attuazione del MODELLO 231 per quanto attiene ai reati informatici. La fase ultima è quindi costituita da un report che documenterà sia l attività svolta che il risultato del rischio di commissione di uno dei reati con le misure connettive suggerite da chi ha condotto l audit stesso. In situazioni particolarmente complesse l audit sarà condotto congiuntamente da un sistemista e da un informatico per consentire una maggiore efficacia della rilevazione dello stato di attuazione del MODELLO 231 con particolare riferimento ai reati informatici. COME COSTRUIRE IL MODELLO 231 Le fasi di costruzione del MODELLO 231 sono dettate dagli articoli 6 e 7 del D.Lgs. 231/01 devono fare riferimento a sentenze che in questi anni hanno giudicato i Modelli (es. il c.d. decalogo del Modello nell ordinanza del G.i.p. di Milano (dott.ssa Secchi) del ) e devono considerare la prassi aziendale in essere e la struttura documentale presente. Le fasi operative sono le seguenti: 1. Mappatura di TUTTI i processi aziendali con relative attività e azioni costituenti ogni singolo processo (utilizzare la documentazione ISO 9001 per quanto necessario e quando necessario!). 2. Valutazione dei rischi presenti in ogni attività dove possono essere commessi reati (utilizzare la check list che lega la tipologia di reato alla probabilità che possa essere commesso). 3. Verifica delle procedure e/o istruzioni di lavoro esistenti (relative alla ISO 9001, ISO 14001, OHSAS 18001, Privacy, ecc.) e completamento di quelle mancanti per garantire la gestione della Società e contemporaneamente impedire la commissione dei reati presupposto. 4. Formalizzazione di tutto quanto descritto nell ambito di una parte del Modello di Organizzazione Gestione e Controllo. 5. Redazione di una procedura che descrive come deve essere sviluppato il flusso informativo della Società verso l Organismo di Vigilanza (OdV) e viceversa. 6. Redazione della procedura relativa ad un Sistema sanzionatorio che integri il codice disciplinare della Società relativamente allo specifico CCNL. 7. Redazione della procedura relativa alla costituzione dell OdV 8. Redazione del Codice Etico In questo modo viene soddisfatto il criterio di specificità (il MODELLO 231 deve essere coerente con la realtà organizzativa e gestionale della Società e con le possibili modalità di commissione dei reati), di effettività (il MODELLO 231 deve essere operante nella quotidianità della Società attraverso le relazioni e le interazioni tra le Pag. 5 di 6

6 parti), di aggiornabilità (la struttura documentale deve essere facilmente aggiornabile in funzione dei cambiamenti societari, normativi e legislativi). La rappresentazione grafica della struttura documentale è riportata nella figura sottostante. - Tipologia, rilevanza e numerosità di rischi di commissione dei reati presupposto - Presenza di manuali, procedure e d istruzioni opportunamente formalizzati per la gestione dei processi principali e di supporto - Presenza di un sistema di controllo interno documentato PROPOSTA OPERATIVA DEL GRUPPO 2G MANAGEMENT CONSULTING Il GRUPPO 2G Management Consulting è una impresa della conoscenza e di servizi innovativi che, con i suoi attuali 32 professional, opera dal 1988 a supporto di imprese industriali, commerciali e di servizi. Le aree di intervento sono costituite da 4 macrotemi (uno di questi è costituito dai Sistemi di Gestione dell Impresa) caratterizzati da settori consulenziali specifici (tra cui il MODELLO 231 ed il SISTEMA DI GESTIONE DEL CODICE DELLA PRIVACY) che applicati ad ogni singola impresa costituiscono il progetto di intervento degli esperti del Gruppo 2G Management Consulting. Prima di redigere una proposta progettuale ed economica per condurre un AUDIT INFORMATICO i ns. esperti, senza alcun impegno economico e/o operativo, conducono un check up per rilevare la configurazione HW e SW nonché i protocolli di prevenzione per i reati informatici e altra documentazione del MODELLO 231 necessaria a predisporre una CHECK LIST per condurre l audit. Al termine del check up verranno illustrate alla Direzione Aziendale le problematiche tecnico giuridiche preliminarmente rilevate e solo alla fine di questa ulteriore fase sarà presentata ufficialmente la proposta economica. Il MODELLO 231 non è quindi un documento standard adattabile ad ogni Società ma è un progetto custom i cui dati di ingresso sono rappresentati dalla: - Complessità organizzativa della Società Se volete fissare un appuntamento con i nostri esperti di progettazione del AUDIT INFORMATICO e quindi per un check up gratuito potete contattare il ns. Ufficio Marketing: Sig.ra Cristina Gagliardo Tel Fax gruppo2gmarketing@gruppo2g.com Pag. 6 di 6