Impatto della responsabilità amministrativa nel sistema informativo aziendale: privacy, conservazione sostitutiva

Transcript

1 Convegno PICCOLINDUSTRIA IMPRESA E REATI: L IMPORTANZA DI UN ADEGUATA ORGANIZZAZIONE AZIENDALE. LA RESPONSABILITA DELLE IMPRESE AI SENSI DEL D.LGS. 231/2001 Impatto della responsabilità amministrativa nel sistema informativo aziendale: privacy, conservazione sostitutiva A cura di Paola Zambon Dottore Commercialista in Torino Presidente Associazione ICT Dott.Com Unione industriale di Torino, 28 novembre 2006

2 Frode informatica: la norma Art. 640 ter codice penale Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, e' punito con la reclusione da sei mesi a tre anni e con la multa da 51,00 a 1.032,00. La pena e' della reclusione da uno a cinque anni e della multa da 309,00 a 1.549,00 se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640 (*), ovvero se il fatto e' commesso con abuso della qualità di operatore del sistema. Il delitto e' punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo comma o un'altra circostanza aggravante (*) = se il fatto e' commesso a danno dello Stato o di un altro ente pubblico o col pretesto di far esonerare taluno dal servizio militare.

3 Oggetto del reato di frode informatico È l azione ingannevole attuata mediante: intrusione dolosa nel software o hardware alterazione o comunque impossessamento indebito del funzionamento degli stessi al fine di ottenere : profitto illecito finalità diverse da quelle previste dal titolare ignaro.

4 Frode informatica: il funzionamento Qualsiasi persona altera in/con qualsiasi modo interviene senza averne diritto il funzionamento Sistema informatico e telematico (o ad esso pertinente) dati, informazioni, programmi contenuti Procura a sé Procura o ad altri s sé o ad altri un profitto ingiusto un profitto ingiusto con altrui danno con altrui danno

5 Le sanzioni pecuniarie per la frode informatica Art. 24 D.Lgs. 231/01: frode informatica a danno dello Stato o ente pubblico Se il reato è commesso a danno: dello Stato; di altro ente pubblico sono previste sanzioni pecuniarie fino al massimo di euro ,35 Se a causa del reato la società: ha conseguito un grande profitto ne è derivato un danno grave sono previste sanzioni pecuniarie fino a un massimo di euro ,42 + sanzioni interdittive (vedi slide succ.).

6 Le sanzioni interdittive per la frode informatica Art. 24 D.Lgs. 231/01: frode informatica a danno dello Stato o ente pubblico Sono previste sanzioni interdittive per un periodo da tre mesi a due anni: divieto di stipulare contratti con la Pubblica Amministrazione; esclusione da: agevolazioni, finanziamenti, contributi, sussidi; eventuale revoca di agevolazioni, finanziamenti, contributi, sussidi, già concessi; divieto di reclamizzare beni o servizi.

7 Frode informatica: la resp. amm. Frode informatica dello Stato commessa a danno di altro ente pubblico Se la società ha ingente profitto o il danno causato è rilevante sanzioni pecuniarie sanzioni interdittive

8 Esempio di frode informatica in azienda Dipendente o esterno all azienda che: modifica/alterazione/perdita dati fiscali modifica/alterazione/perdita dati contabili/gestionali al fine di: procurare a sé o ad altri profitto ingiusto e danneggiare l azienda!

9 La responsabilità amministrativa e la privacy elenco dei trattamenti di dati personali; Nel DPS vanno indicati: distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni previsione di interventi formativi degli incaricati del trattamento descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato; speciali misure a garanzia dei dati sensibili e giudiziari; Inoltre la società deve prevedere l esistenza di opportuni sistemi di autorizzazione e di autenticazione. D.Lgs. 196/03 (e succ. modif. e integraz.) - Allegato B

10 Cos è il Disaster Recovery È l abilità dell azienda a riprendere la propria operatività dopo un disastro informatico Recovery Point Objective Individua il momento temporale nel quale il sistema viene riportato Recovery Time Objective Individua l intervallo di tempo che trascorre prima di ripristinare il sistema Diverse soluzioni. Soluzione generica: occorre possedere adeguata copia di archivi e database su un altro sistema (di solito remoto perché più sicuro)

11 Cos è la Business Continuity È la descrizione di procedure e processi che l azienda attua per garantirsi il funzionamento dell operatività essenziale aziendale durante e successivamente al disaster recovery. Cosa è essenziale? La società deve individuare i punti focali delle proprie aree funzionali Quanto costa proteggere? La società stanzia a budget quanto ha a disposizione per proteggere le aree essenziali Come scegliere? Le misure di sicurezza devono essere anche adeguate a quanto previsto dalla norma privacy La business continuity è molto utile anche per prevenire!

12 Il piano di Business Continuity Contiene piani di : disaster recovery business resumption (individua mezzi per assicurare servizi essenziali nel luogo del disastro) business recovery (individua mezzi per ripristinare servizi essenziali in altro luogo) contingency plan (individua comportamenti in risposta a eventi esterni che danneggino fortemente l azienda)

13 Esempio: il piano disaster recovery della nonna Mantiene copia di back up di dati e files più importanti Mantiene copia originale software Reinstalla software e files più importanti ma perde gli aggiornamenti ad ultimo back up effettuato

14 Esempio: il piano business continuity Si dota di minimo 2 hard disk Ha un software di back up automatico delle immagini delle partizioni del disco Ha copie di back up settimanali ed incrementali giornaliere Ecc.

15 La responsabilità in azienda per garantire la business continuity Ciascun dipendente è responsabile per mantenere e migliorare le condizioni di sicurezza in azienda

16 Gradi di responsabilità Ha resp. funzionamento proprio reparto e suggerimenti al top management Management posizione apicale Individua obiettivi e strategie a lungo termine. Ha la resp. di garantire protezione beni e dati in azienda. Management Divisionale o di reparto Informano sul funzionamento procedure e seguono linee guida. Staff operativo Staff operativo

17 La sicurezza in outsourcing Contratti che rispettino i S.L.A. Contratti che garantiscono il rispetto di principi standard (es. BS 7799/Iso che diventa Iso 27001:2005 entro il ) qualora vengano rispettati

18 La responsabilità amministrativa e la conservazione sostitutiva: cenni Doveri del responsabile della conservazione sostitutiva documentale Outsourcing del processo di fatturazione elettronica

19 La pianificazione del rischio informatico Oggetti da difendere Obiettivi di sicurezza Minacce Vulnerabilità Gestione del rischio Conseguenze causate da attuazione minacce Rivisitazione modello

20 Conclusioni Grazie per l attenzione e buone feste! Paola Zambon Siete invitati al convegno del 7 Dicembre 2006 ore 8.30 Politecnico di Torino Sala Consiglio C.so Duca degli Abruzzi, Torino Le nuove norme nei flussi informativi aziendali. Fatturazione elettronica, antiriciclaggio, principi contabili IAS/IFRS Per contatti: paolazambon@taxlawplanet.net a cura dell Associazione ICT DOTT.COM scarica invito in Partecipazione gratuita previa iscrizione a info@ictdott.com Il presente lavoro è solo ad uso consultazione. Ogni altro uso non autorizzato non è consentito.