SARDEGNA RESORTS S.R.L.

Transcript

1 MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO PARTE SPECIALE B REATI INFORMATICI E TRATTAMENTO ILLECITO DI DATI SARDEGNA RESORTS S.R.L.

2 INDICE 1. FATTISPECIE DI REATO PREVISTA DALL ARTICOLO 24-BIS, D. LGS. N. 231 DEL PRINCIPI GENERALI DI COMPORTAMENTO NELLE AREE DI ATTIVITÀ A RISCHIO REATO LE AREE A RISCHIO REATO LE SINGOLE AREE A RISCHIO

3 PARTE SPECIALE B 1. FATTISPECIE DI REATO PREVISTA DALL ARTICOLO 24-BIS, D. LGS. N. 231 DEL 2001 L Articolo 24-bis del D.Lgs. n. 231 del 2001, introdotto dalla Legge 18 marzo 2008, n. 48, ha ampliato le fattispecie di reato da cui può sorgere la responsabilità dell ente relativamente alla criminalità informatica (di seguito i Reati Informatici e Trattamento Illecito di Dati ). Nello specifico, le fattispecie rilevanti ai fini della presente Parte Speciale sono le seguenti: Documenti informatici (art. 491-bis c.p.); Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.); Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.); Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.); Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.); Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art quinquies c.p.); Danneggiamento di informazioni, dati e programmi informatici (art bis c.p.); Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.); Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.); Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.); Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.). 3

4 2. PRINCIPI GENERALI DI COMPORTAMENTO NELLE AREE DI ATTIVITÀ A RISCHIO REATO Al fine di prevenire ed impedire il verificarsi dei Reati Informatici e Trattamento Illecito di Dati individuati al precedente paragrafo 1 e ritenuti rilevanti per Sardegna Resorts, i Destinatari del Modello coinvolti nello svolgimento delle Attività Sensibili in cui si articolano le Aree a Rischio Reato individuate, sono tenuti al rispetto dei seguenti principi generali di condotta, fermo restando a quanto indicato nel successivo paragrafo 3: - astenersi dal porre in essere o partecipare alla realizzazione di condotte che, considerate individualmente o collettivamente, possano integrare le fattispecie di reato indicate nel precedente paragrafo 1; - astenersi dal porre in essere ed adottare comportamenti che, sebbene non integrino, di per sé, alcuna delle fattispecie dei reati indicati nel precedente paragrafo 1, possano potenzialmente diventare idonei alla realizzazione dei reati medesimi. A questo proposito, a titolo meramente esemplificativo e non esaustivo, ai Destinatari della presente sezione della Parte Speciale, è fatto espresso divieto di: - accedere abusivamente ad un sistema informatico o telematico protetto da misure di sicurezza contro la volontà del titolare del diritto di accesso; - introdursi in un sistema informatico o telematico, o in parti di esso, ovvero in banche dati di Sardegna Resorts, o in parti di esse, non possedendo le credenziali di accesso o mediante l utilizzo di credenziali di altri colleghi abilitati; - distruggere, deteriorare, cancellare, manipolare, eliminare informazioni, dati o programmi informatici altrui o anche solo mettere in pericolo l integrità e la disponibilità di informazioni, dati o programmi utilizzati dallo Stato o da altro ente pubblico o ad esso pertinenti o comunque di pubblica utilità; - inserire o trasmettere dati, informazioni o programmi al fine di distruggere, danneggiare, rendere in tutto o in parte inutilizzabili, impedire il funzionamento dei sistemi informatici o telematici di pubblica utilità; - alterare, mediante l utilizzo di firma elettronica o comunque in qualsiasi modo, documenti informatici; - produrre e trasmettere documenti in formato elettronico contenenti dati falsi e/o manipolati; - intercettare fraudolentemente e/o diffondere comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi; - utilizzare dispositivi tecnici o strumenti tecnologici (es. software) non autorizzati idonei ad impedire o interrompere le comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi; - detenere, procurarsi, riprodurre e o diffondere abusivamente codici di accesso o comunque mezzi idonei all accesso di un sistema protetto da misure di sicurezza; - procurare, riprodurre, diffondere, comunicare, mettere a disposizione di altri apparecchiature, dispositivi o programmi al fine di danneggiare illecitamente un sistema o i dati e i programmi ad esso pertinenti ovvero favorirne l interruzione o l alterazione del suo funzionamento. 4

5 Inoltre, le funzioni aziendali che svolgono servizi di Information Technology ovvero Information Management devono ispirare la loro azione ai seguenti principi generali: - Riservatezza - garanzia che un determinato dato sia preservato da accessi impropri e sia utilizzato esclusivamente dai soggetti autorizzati. Le informazioni riservate devono essere protette sia nella fase di trasmissione sia nella fase di memorizzazione/conservazione, in modo tale che l informazione sia accessibile esclusivamente a coloro i quali sono autorizzati a conoscerla; - Integrità - garanzia che ogni dato aziendale sia realmente quello originariamente immesso nel sistema informatico e sia stato modificato esclusivamente in modo legittimo. Si deve garantire che le informazioni vengano trattate in modo tale che non possano essere manomesse o modificate da soggetti non autorizzati; - Disponibilità - garanzia di reperibilità di dati aziendali in funzione delle esigenze di continuità dei processi e nel rispetto delle norme che ne impongono la conservazione storica. 5

6 3. LE AREE A RISCHIO REATO Ad esito delle attività di risk assessment svolte, sono state individuate le seguenti Aree a Rischio Reato : Gestione di adempimenti obbligatori nei confronti della pubblica amministrazione e gestione dei rapporti con la stessa in occasione di verifiche e controlli; Gestione dei sistemi informativi aziendali. Con riferimento alle suddette Aree a Rischio, l attività della Società si ispira ai seguenti principi di controllo: - chiara identificazione, mediante un sistema di deleghe e procure, dei soggetti deputati alla gestione del processo; - esistenza di uno specifico protocollo aziendale che descrive ruoli, responsabilità, attività, modalità operative e controlli relativi alla gestione del processo; - esistenza di separazione all interno di ciascun processo, tra il soggetto che assume la decisione, il soggetto che la autorizza, il soggetto che la attua ed il soggetto cui è affidato il controllo del processo (c.d. segregazione delle funzioni); - rispetto dei compiti, ruoli e responsabilità definiti dall organigramma aziendale e dal sistema autorizzativo nella gestione del processo; - archiviazione di tutta la documentazione connessa alla gestione del processo aziendale, anche al fine di garantirne la tracciabilità. Con riferimento alle Aree a Rischio, inoltre, vengono di seguito illustrate le attività sensibili, le funzioni aziendali coinvolte, i reati astrattamente ipotizzabili ed i controlli preventivi esistenti. 6

7 4. LE SINGOLE AREE A RISCHIO 4.1. Gestione di adempimenti obbligatori nei confronti della pubblica amministrazione e gestione dei rapporti con la stessa in occasione di verifiche e controlli Direzioni aziendali coinvolte - Direzione Amministrativa e Finanziaria; - Direzione Operativa Hotels; - Direzione Tecnica; - Risorse Umane Attività sensibili e reati astrattamente ipotizzabili 1. Raccolta e trasmissione di dati, informazioni e documenti alle Autorità competenti in caso di verifiche, ispezioni, accertamenti. a) Documenti informatici (art bis c.p.); Controlli preventivi - Verifica, da parte del responsabile della funzione aziendale competente, di congruità, completezza e correttezza della documentazione raccolta a seguito di apposita richiesta da parte degli ispettori della Pubblica Amministrazione a seguito di verifiche/ispezioni/accertamenti; - Formale autorizzazione della documentazione da inoltrare alla Pubblica Amministrazione a seguito di verifiche/ispezioni/accertamenti Gestione dei sistemi informativi aziendali Direzioni aziendali coinvolte - Servizi Informatici Attività sensibili e reati astrattamente ipotizzabili 1. Coordinamento delle attività legate alla gestione dei sistemi informativi, ivi inclusa la gestione della manutenzione evolutiva, correttiva e ordinaria e degli sviluppi a sistema; 2. Gestione dei profili di accesso e di autenticazione / autorizzazione alle apparecchiature informatiche, alla rete e ai sistemi; 3. Gestione della sicurezza perimetrale fisica e protezione delle apparecchiature; 4. Gestione e protezione dei dati; 5. Gestione della riproduzione e diffusione all'interno dei sistemi informativi aziendali di opere tutelate dal diritti di autore e dai diritti connessi. 7

8 a) Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.); b) Documenti informatici (art. 491 bis c.p.); c) Detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici (art. 615 quater c.p.); d) Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615 quinquies c.p.); e) Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617 quater c.p.); f) Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617 quinquies c.p.); g) Danneggiamento di informazioni, dati e programmi informatici (art. 635 bis c.p.); h) Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635 ter c.p.); i) Danneggiamento di sistemi informatici o telematici (art. 635 quater c.p.); j) Danneggiamento di sistemi informatici di pubblica utilità (art. 635 quinquies c.p.); k) Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640 quinquies c.p.) Controlli preventivi - Identificazione dei soggetti preposti al coordinamento delle attività di gestione dei sistemi informativi della Società; - Tracciabilità delle richieste di intervento di manutenzione (evolutiva, correttiva e ordinaria) sui sistemi informativi della Società; - Formale autorizzazione degli interventi di manutenzione sui sistemi informativi della Società; - Formale richiesta per la creazione di utenze abilitate all'utilizzo dei sistemi informativi aziendali; - Verifica di corrispondenza tra il ruolo del richiedente e la tipologia di utenza da abilitare / modificare; - Formale autorizzazione per la creazione di utenze abilitate all'utilizzo dei sistemi informativi aziendali, da parte di soggetti dotati dei poteri necessari; - Definizione di criteri in merito alla corretta creazione e gestione delle password; - Definizione di credenziali di accesso univoche; - Previsione di controlli circa la sussistenza dei diritti di accesso ai sistemi e rimozione degli stessi al termine del rapporto di lavoro; - Definizione dei appositi criteri per la creazione di "account speciali"; - Tracciabilità degli accessi e delle attività critiche svolte tramite i sistemi informatici aziendali; - Previsione di attività di monitoraggio / controllo periodico dell efficacia e operatività del sistema di gestione della sicurezza informatica; - Esistenza di controlli in merito alla corretta gestione della sicurezza dell'area CED; - Inventariazione periodica degli asset aziendali utilizzati ai fini dell operatività del sistema informatico e telematico; 8

9 - Utilizzo di controlli crittografici per la protezione delle informazioni e regolamentazione della gestione delle chiavi crittografiche; - Esistenza di regole formalizzate al fine di garantire un utilizzo corretto delle informazioni e dei beni associati alla strutture di elaborazione delle informazioni; - Previsione di regole formalizzate connesse alla gestione degli incidenti e dei problemi di sicurezza informatica; - Utilizzo di appositi software antivirus atti ad individuare e prevenire software potenzialmente dannosi; - Utilizzo di specifico web filtering software (Firewall) al fine di bloccare l'accesso a siti Web che contengono contenuto limitato dalla politica aziendale o che potrebbero influire sulla sicurezza o le prestazioni operative della rete della Società o dei sistemi informatici; - Esistenza di regole per le connessioni di rete o i canali di comunicazione tra terze parti e la Società; - Esistenza di controlli circa l installazione di software sui sistemi operativi; - Esistenza di controlli circa il rispetto dei termini delle licenze/contratto per l'utilizzo del software; - Adozione di politiche per l'utilizzo di materiale protetto da copyright e software non autorizzato. 9