MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D. LGS. 231/2001. CONSIP S.P.A. a socio unico ***** PARTE SPECIALE B REATI INFORMATICI

Transcript

1 MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D. LGS. 231/2001 DI CONSIP S.P.A. a socio unico ***** PARTE SPECIALE B REATI INFORMATICI 1

2 IL RISCHIO SPECIFICO DEI DELITTI INFORMATICI (ART. 24 BIS D.LGS. 231/2001) Il legislatore con la L. n. 48 del 18 Marzo 2008, ed in particolare con l inserimento dell art. 24-bis nell impianto normativo del d.lgs. 231/2001, ha ratificato e dato esecuzione alla Convenzione del Consiglio d Europa sulla criminalità informatica, firmata a Budapest il 23 novembre Nonostante la rubrica dell art. 24-bis faccia riferimento anche al trattamento illecito dei dati, il corpo dell'articolo non fa alcun cenno alla disciplina in materia di manipolazione dei dati personali. Pertanto, il risk assessment svolto prescinde da valutazioni sulla corretta attuazione della normativa nazionale in tema di privacy ed, in particolare, dell'art. 167 del Codice della Privacy (D.lgs. 196/2003). Si è predisposta, in particolare, un'analisi delle procedure di accesso e di utilizzo dei sistemi informatici aziendali (modalità di utilizzo di strumenti informatici o telematici dell'ente da parte del dipendente o del soggetto posto in posizione apicale, security policies per filtri di traffico di rete, ecc.) in merito alle principali aree a rischio. Allo scopo di evitare e prevenire la realizzazione dei reati previsti dall'art. 24-bis del d.lgs. 231/2001 [di seguito anche "Rischio Specifico"] ed in conformità con le politiche aziendali, nonché in attuazione dei principi di trasparenza, efficienza e buon governo, i Destinatari del Modello Consip dovranno rispettare e uniformarsi alle prescrizioni di seguito riportate. La Società si è già da tempo dotata di strutture e procedure finalizzate a garantire la massima tutela possibile per la gestione e l utilizzo sicuro e lecito dei propri sistemi informatici. In tale ambito rileva la costituzione dell IRT (Incident Response Team), gruppo di lavoro creato per la gestione degli incidenti informatici causati dai Virus/Worm, e dell Unità Locale di Sicurezza che opera per conto del Mef sul parco utenza del dominio (Consip compresa), con lo scopo di prevenire gli incidenti informatici e predisporre le necessarie contromisure. 1. I reati Art. 491-bis c.p. Documenti informatici E' punita la falsificazione di documenti informatici pubblici o privati aventi efficacia probatoria. Art. 615-ter c.p. Accesso abusivo ad un sistema informatico o telematico Il reato è commesso da chi si introduce abusivamente in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. La pena è aumentata: a. se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2

3 b. se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; c. se dal fatto deriva la distruzione o il danneggiamento del sistema, l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Art. 615-quater c.p. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici Il reato è commesso da chi, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo. Art. 615-quinques c.p. Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico Il reato è commesso da chi, allo scopo di danneggiare illecitamente un sistema informatico o telematico nonché le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici. Art. 617-quater c.p. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche Il reato è commesso da chi fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe. Salvo che il fatto costituisca più grave reato, la medesima pena prevista per tale fattispecie si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma. I delitti in questione sono punibili a querela della persona offesa. Tuttavia si procede d ufficio se il fatto è commesso: a. in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; b. da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema; c. da chi esercita anche abusivamente la professione di investigatore privato. Art. 617-quinquies c.p. Installazione d'apparecchiature per intercettare, impedire od interrompere comunicazioni informatiche o telematiche 3

4 Il reato è commesso da chi, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi. Art. 635-bis c.p. Danneggiamento di informazioni, dati e programmi informatici Salvo che il fatto costituisca più grave reato, il reato è commesso da chi distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui. Art. 635-ter c.p. Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità Salvo che il fatto costituisca più grave reato, il reato è commesso da chi commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità. Art. 635-quater c.p. Danneggiamento di sistemi informatici o telematici Salvo che il fatto costituisca più grave reato, il reato è commesso da chi, mediante le condotte di cui all'articolo 635-bis, ovvero attraverso l'introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento. Art. 635-quinquies c.p. Danneggiamento di sistemi informatici o telematici di pubblica utilità Il reato è commesso da chi compie i fatti di cui all'articolo 635-quater al fine di distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento. Art. 640-quinquies c.p. Frode informatica del soggetto che presta servizi di certificazione di firma elettronica Il reato è commesso dal soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato. 2. Aree sensibili nell'ambito dei reati informatici 2.1 Area sistemi propri di Consip, (esemplificazione su attività rilevanti o a campione): a. Gestione del sito internet e della rete intranet di Consip; b. Gestione del Sistema Sicurezza "fisica" (sicurezza cablaggi, dispositivi di rete, ecc.); c. Gestione dell'hardware e del software aziendale; d. Sviluppo, manutenzione e gestione modifiche dei software aplicativi (es., SIAC, SIGeF, ecc.,); 4

5 e. Ogni altra attività svolta con l'utilizzo di strumenti di lavoro informatici e telematici Possibili condotte illecite Nell'ambito della gestione di tali attività, ad esempio, le risorse interne della Società potrebbero: a. accedere abusivamente ai sistemi informatici protetti da misure di sicurezza, eventualmente manipolarne i dati al fine di ottenere un vantaggio in ordine agli adempimenti contabili e di bilancio; b. con riferimento alla gestione delle emergenze, distruggere o danneggiare sistemi informatici i cui dati possano provare il mancato adempimento di un obbligo in capo alla Società; c. distruggere o danneggiare il sistema informatico di rilevazione accessi al fine di impedire la consultazione dei dati e la rilevazione di eventuali carenze nella gestione delle emergenze Ogni singola Area/Direzione coinvolta nelle sopracitate esemplificazioni (Direzione Business Support;) è responsabile del relativo rischio. Si precisa, peraltro, che i citati profili di rischio sono riconducibili, oltre che alle direzioni aziendali sovra menzionate, anche alle direzioni e/o funzioni di volta in volta interessate all'utilizzo di documenti e strumenti informatici. 2.2 Area sistemi realizzati per le Pubbliche Amministrazioni o utilizzati/sviluppati per la gestione delle attività oggetto di Convenzione, (esemplificazione su attività rilevanti o a campione): a) gestione del patrimonio informativo (es., SIPAI, Sigi); b) gestione e protezione delle reti e delle piattaforme (i.e. piattaforma di e- procurement, portale degli acquisti in rete); c) sviluppo e gestione dei sistemi informativi della contabilità nazionale, del bilancio dello stato e comunitario; d) gestione degli interventi di tipo correttivo, adeguativo, migliorativo ed evolutivo rispetto agli hardware e softaware in uso alla P.A. e) gestione dell esercizio dei sistemi, reti e servizi informatici f) progettazione, evoluzione e collaudo delle infrastrutture it g) gestione delle postazioni di lavoro, delle caselle di posta elettronica dei servizi di connettività (internet) delle Pubbliche Amministrazioni h) monitoraggio della Sicurezza e Incident & Problem Management Possibili condotte illecite 5

6 Nell'ambito della gestione di tali attività, ad esempio le risorse interne della Società potrebbero: a. consegnare codici di accesso a terzi con lo scopo di alterare i dati contenuti nel sistema informatico delle Pubbliche Amministrazioni o di diffondere informazioni riservate delle Pubbliche Amministrazioni coinvolte; b. accedere abusivamente al portale acquisti in rete della Pubblica Amministrazione, al fine di falsificare, distruggere o danneggiare i cc.dd. "contenuti strategicamente rilevanti", concernenti le attività svolte dalla Direzione Acquisiti della Pubblica Amministrazione; c. consegnare a terzi i codici di accesso a sistemi informatici del MEF con lo scopo di far alterare i dati ivi contenuti (i.e. dati relativi ai rapporti con la Corte dei conti e ad altre Autorità) per evitare che la società incorra in responsabilità, di qualsivoglia tipo; d. consegnare a terzi i codici di accesso a sistemi informatici del MEF con lo scopo di alterare i dati ivi contenuti, per permettere a Consip di ottenere maggiori rimborsi con riferimento alla gestione acquisti a rimborso; e. diffondere un virus al fine di corrompere il sistema informatico del Mef, con lo scopo di alternarne i dati ivi contenuti; f. diffondere un virus sulla piattaforma di e-procurement del mef (nel dettaglio, il c.d."marketplace") al fine di alterare i dati relativi ai prodotti dei fornitori che ottengono dalla Consip l'abilitazione ad operare sul marketplace medesimo (o i dati relativi ai fornitori medesimi) nell'interesse o a vantaggio di Consip Ogni singola Area/Direzione coinvolta nelle sopracitate esemplificazioni (Direzione Sistemi Informativi; Direzione Infrastrutture IT; Direzione Finanza Pubblica; DAPA; Direzione Business Support) è responsabile del relativo rischio. Si precisa, peraltro, che i citati profili di rischio sono riconducibili, oltre che alle direzioni aziendali sovra menzionate, anche alle direzioni e/o funzioni di volta in volta interessate all'utilizzo di documenti e strumenti informatici. 3. Canoni comportamentali per la prevenzione del Rischio Specifico in relazione alla realtà aziendale di Consip Consip, consapevole della continua evoluzione delle tecnologie applicabili e dell elevato impegno operativo, organizzativo e finanziario richiesto a tutti i livelli della struttura aziendale, si pone come obiettivo l adozione di efficaci politiche di sicurezza informatica. In particolare, essa viene perseguita attraverso: (a) la protezione dei sistemi e delle informazioni da potenziali attacchi (intervenendo anche attraverso la definizione del Sistema Privacy Consip - sia sul piano organizzativo, tramite la creazione di una cultura aziendale attenta agli aspetti della sicurezza, che su quello tecnologico, attraverso l utilizzo di strumenti atti a prevenire e - se del caso - reagire ai possibili attacchi); (b) la garanzia della massima continuità del servizio. A tutti i Destinatari del Modello (limitatamente agli obblighi contemplati, rispettivamente, nelle procedure aziendali e nelle specifiche clausole contrattuali) è fatto divieto di porre 6

7 in essere comportamenti che possano rientrare nelle fattispecie di reato richiamate dall'articolo 24 bis d.lgs. 231/2001. Sono altresì proibite le violazioni dei principi previsti nella presente Parte Speciale. Ai Destinatari è fatto, in particolare, divieto di: 3.1 alterare documenti informatici, pubblici o privati, aventi efficacia probatoria; 3.3 accedere abusivamente al sistema informatico o telematico di soggetti pubblici e privati con cui Consip intrattiene rapporti nell'ambito della propria attività, al fine di alterare e /o cancellare dati e/o informazioni; 3.4 detenere e/o utilizzare abusivamente codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico di soggetti pubblici o privati con i quali la Società intrattiene rapporti nell'ambito della propria attività, al fine di acquisire informazioni riservate; 3.5 detenere e/o utilizzare abusivamente codici, parole chiave o altri mezzi idonei all'accesso al sistema informatico o telematico di Consip o delle Pubbliche Amministrazioni al fine di acquisire informazioni riservate; 3.6 svolgere attività di approvvigionamento, e/o produzione e/o diffusione di apparecchiature e/o software allo scopo di (a) danneggiare (i) un sistema informatico o telematico di soggetti pubblici o privati con i quali la Società intrattiene rapporti nell'ambito della propria attività, nonché (ii) le informazioni, i dati o i programmi in esso contenuti; ovvero allo scopo di (b) favorire l interruzione, totale o parziale, o l alterazione del loro funzionamento; 3.7 svolgere attività fraudolenta di intercettazione, impedimento o interruzione di comunicazioni relative a un sistema informatico o telematico di soggetti, pubblici o privati, con i quali la Società intrattiene rapporti nell'ambito della propria attività, al fine di acquisire informazioni riservate; 3.8 installare apparecchiature per l intercettazione, impedimento o interruzione di comunicazioni di soggetti pubblici o privati; 3.9 svolgere attività di modifica e/o cancellazione di dati, informazioni o programmi di soggetti privati o di soggetti pubblici o comunque di pubblica utilità; 3.10 svolgere attività di danneggiamento di informazioni, dati e programmi informatici o telematici altrui; 3.11 distruggere, danneggiare, rendere inservibili sistemi informatici o telematici di pubblica utilità; 3.12 introdurre e/o conservare applicazioni/software che non siano state preventivamente sottoposte al vaglio del responsabile della funzione competente alla gestione del relativo sistema informatico o la cui provenienza sia dubbia o sconosciuta; 3.13 trasferire all esterno di Consip e/o trasmettere file, documenti, o qualsiasi altra documentazione riservata di proprietà di Consip, se non per finalità strettamente attinenti allo svolgimento delle proprie mansioni e, comunque, previa autorizzazione del proprio superiore gerarchico; 3.14 lasciare accessibile ad altri il proprio PC oppure consentire l utilizzo dello stesso ad altre persone (parenti, amici, ecc.); 7

8 3.15 utilizzare password di altri utenti aziendali, neppure per l accesso ad aree protette in nome e per conto dello stesso, salvo espressa autorizzazione del responsabile della funzione competente; 3.16 utilizzare strumenti software e/o hardware atti a intercettare, falsificare, alterare o sopprimere il contenuto di comunicazioni e/o documenti informatici. Pertanto, i Destinatari hanno l'obbligo di: 3.17 attenersi alle istruzioni impartite ai sensi del D.Lgs 163/03 in tema di trattamento dei dati personali ed, in generale, a quanto definito nel Sistema Privacy Consip; 3.18 attenersi a quanto disposto dalle procedure aziendali e linee guida in materia di: a. utilizzo del personal computer; b. utilizzo della rete aziendale; c. utilizzo della piattaforma di e-procurement; d. gestione delle password; e. utilizzo dei supporti magnetici e dei PC portatili; f. utilizzo della posta elettronica; g. utilizzo della rete internet e dei relativi servizi; h. protezione dei dati personali e riservatezza del know-how della Società e delle Pubbliche Amministrazioni con cui la Società si trova ad operare; i. ogni altra attività svolta mediante strumentazioni, piattaforme o sistemi informatici utilizzare le informazioni, le applicazioni e le apparecchiature esclusivamente nell'ambito dell'attività svolta dalla Società; 3.20 non prestare o cedere a terzi qualsiasi apparecchiatura informatica, senza la preventiva autorizzazione del responsabile della funzione competente alla gestione dei relativi sistemi informatici; 3.21 in caso di smarrimento o furto di qualsiasi apparecchiatura informatica della Società o delle Pubbliche Amministrazioni coinvolte, informare tempestivamente il responsabile della funzione competente alla gestione dei relativi sistemi informatici e presentare denuncia all autorità giudiziaria; 3.22 utilizzare la connessione internet per gli scopi e il tempo strettamente necessario allo svolgimento delle attività che rendono necessario il collegamento; 3.23 rispettare le procedure e gli standard previsti in materia di utilizzazione delle risorse informatiche, segnalando senza ritardo alle funzioni competenti eventuali utilizzi e/o funzionamenti anomali di queste ultime; 3.24 impiegare sulle apparecchiature di Consip soltanto prodotti ufficialmente acquisiti dalla Società; 3.25 astenersi dall'effettuare copie non specificamente autorizzate di dati e di software; 3.26 osservare ogni altra norma specifica riguardante gli accessi ai sistemi e la protezione del patrimonio di dati e applicazioni di Consip.; 8

9 3.27 in ogni caso osservare scrupolosamente quanto previsto dalle politiche di sicurezza aziendali per la protezione e il controllo dei sistemi informatici. In aggiunta, i Destinatari ai sensi del Codice Etico di Consip e delle Convenzioni stipulate con il MEF/Enti hanno l'obbligo di: 3.28 non divulgare in alcun modo le notizie relative alle attività dei Sistemi Informatici dell'amministrazione di cui i dipendenti di Consip vengano a conoscenza in relazione all'esecuzione delle Convenzioni in essere, ivi comprese le informazioni che transitano su apparecchiature di elaborazione dei dati; 3.29 non utilizzare notizie ed informazioni relative alle attività dei Sistemi Informatici dell'amministrazione per fini diversi da quelli previsti nell'ambito delle Convenzioni; 3.30 definire ed adottare opportune misure volte a garantire la massima riservatezza sulle informazioni raccolte negli archivi dei Sistemi Informativi dell'amministrazione nonché, d'intesa con il Ministero dell economia e delle finanze, le misure necessarie a garantire la sicurezza fisica e logistica dei Sistemi Informativi. 4. Presidi di controllo e flussi informativi verso l'organismo di Vigilanza L attività dell Organismo di Vigilanza è svolta in stretta collaborazione tra i vari responsabili delle Direzioni/Aree interessate alla parte speciale. In tal senso dovranno essere previsti flussi informativi completi e costanti tra tali soggetti e l Organismo di Vigilanza, al fine di ottimizzare le attività di verifica. I controlli svolti dall Organismo di Vigilanza sono diretti a verificare la conformità delle attività aziendali ai principi espressi nella presente Parte Speciale e, in particolare, alle procedure interne in essere ed a quelle che saranno adottate in futuro, in attuazione della presente Parte Speciale. In particolare, l'organismo di Vigilanza compie i seguenti controlli, anche a campione: a. sul rispetto delle procedure relative agli accessi; b. sul regolare svolgimento da parte dell'unità Locale di Sicurezza delle procedure volte a limitare il rischio di attacchi informatici; c. sul regolare svolgimento da parte dell Incident Response Team delle procedure volte alla gestione degli incidenti informartici; d. annuale, sull'aggiornamento del contenuto del DPS ex d.lgs. 196/2003; e. semestrale, anche mediante l'invio di questionari per la verifica della conoscenza e del rispetto dei principi indicati nella presente Parte Speciale, nei confronti dei responsabili delle seguenti aree: i. Area Gestione Sistemi e Reti; ii. Area Sviluppo Infrastrutture Sistemi MEF; iii. Area Sviluppo Infrastrutture Sistemi PA; iv. Area Gestione Sistemi Informativi Acquisti PA. 9

10 f. annuale, anche mediante l'invio di questionari per la verifica della conoscenza e del rispetto dei principi indicati nella presente Parte Speciale, nei confronti dei responsabili delle seguenti direzioni ed aree: i. Direzione Business Support; ii. Direzione Finanza Pubblica; iv. Area System Solution; v. Area System Test. I Responsabili delle funzioni appartenenti alla Direzione Infrastrutture IT (Unità Locale di Sicurezza) ed alla Business Support (Area Informatica Interna) in conformità a quanto previsto nel Modello, devono inviare le opportune segnalazioni all'organismo di Vigilanza in tutti i casi in cui riscontrino anomalie dei sistemi informatici (dalle quali possano evincersi accessi o tentativi di accessi abusivi, danneggiamenti, violazione delle procedure interne IT, cancellazione dei dati, ecc.) da parte dei destinatari. 10