Approvato dal Consiglio di Amministrazione del 25 maggio 2012

Transcript

1 Robert Bosch S.p.A. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 PARTE SPECIALE E: REATI CRIMINALITÀ INFORMATICA E IN VIOLAZIONE DEL DIRITTO D AUTORE Approvato dal Consiglio di Amministrazione del 25 maggio 2012 Pag. 1 di 9

2 INDICE PARTE SPECIALE E : REATI CRIMINALITÀ INFORMATICA E VIOLAZIONE DEL DIRITTO D AUTORE... 3 E.1 Le fattispecie di reati criminalità informatica... 4 E.2 Le fattispecie di reati in... 6 E.3 Processo di gestione della sicurezza informatica... 7 E.4 Principi generali di condotta e comportamento e di assetto del sistema di organizzazione, gestione e controllo... 8 E.5 Principi specifici e componenti del sistema di organizzazione, gestione e controllo... 9 Pag. 2 di 9

3 PARTE SPECIALE E : REATI CRIMINALITÀ INFORMATICA E VIOLAZIONE DEL DIRITTO D AUTORE La presente Parte Speciale, dedicata alla prevenzione dei reati di criminalità informatica e di (ex artt. 24 bis e 25 novies) e alla disciplina dei comportamenti ed attività che potrebbero astrattamente configurarli, è strutturata nelle seguenti sezioni: illustrazione delle fattispecie di reato ascrivibili alla famiglia dei reati in tema di reati informatici e trattamento illecito dei dati e ; identificazione delle aree sensibili IT a rischio di potenziale commissione dei suddetti reati e derivanti dall attività di Risk Assessment condotta; delineazione dei principi di comportamento e di controllo (definiti standard di controllo) applicabili nella realizzazione delle attività entro le aree sensibili, atti a mitigare il rischio associato alla commissione di reati informatici e. Per ciascuno standard di controllo viene inoltre fornita: la descrizione sintetica dello standard di controllo; le attività e sotto-attività sensibili riconducibili allo standard di controllo; l identificazione del sistema di policy e procedure applicabili allo specifico standard di controllo. Pag. 3 di 9

4 E.1 Le fattispecie di reati criminalità informatica Tra i reati di criminalità informatica previsti dal Decreto si indicano di seguito quelli astrattamente configurabili nell ambito delle attività svolte da Robert Bosch S.p.A.: Falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.) Tale ipotesi di reato si configura nel caso in cui un rappresentante o un dipendente della Società falsifichi un documento informatico pubblico o privato, avente efficacia probatoria. A tal fine, per documento informatico si intende la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti, con esclusione dunque dei programmi informatici. Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.) Tale ipotesi di reato si configura nel caso in cui un rappresentante o un dipendente della Società si introduca abusivamente in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. A tal fine, per sistema informatico si intende qualsiasi apparecchiatura o rete di apparecchiature interconnesse o collegate, una o più delle quali, attraverso l esecuzione di un programma per elaboratore, compiono l elaborazione automatica di dati (si è ritenuto,ad es., che anche un semplice personal computer possa essere considerato un vero e proprio sistema, per la ricchezza dei dati contenuti). Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.) Tale ipotesi di reato si configura nel caso in cui un rappresentante o un dipendente della Società abusivamente si procuri, riproduca, diffonda, comunichi o consegni codici o parole chiave o altri mezzi idonei all accesso a un sistema informatico o telematico protetto da misure di sicurezza, o comunque fornisca indicazioni o istruzioni idonee al predetto scopo, al fine di procurare a sé o ad altri un profitto o di recare un danno ad altri. Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.) Tale ipotesi di reato si configura nel caso in cui un rappresentante o un dipendente della Società si procuri, diffonda, comunichi o consegni un programma informatico avente per scopo o per effetto di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso Pag. 4 di 9

5 pertinenti, ovvero di favorire l interruzione (totale o parziale) o l alterazione del suo funzionamento. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.) Tale ipotesi di reato si configura nel caso in cui un rappresentante o un dipendente della Società intercetti fraudolentemente comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisca o le interrompa. Il reato si configura altresì qualora si riveli, mediante qualsiasi mezzo di informazione al pubblico, il contenuto delle predette comunicazioni. Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.) Tale ipotesi di reato si configura nel caso in cui un rappresentante o un dipendente della Società installi apparecchiature atte a intercettare, impedire, o interrompere comunicazioni relative a un sistema informatico o telematico ovvero intercorrenti tra più sistemi. Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.) Tale ipotesi di reato si configura nel caso in cui un rappresentante o un dipendente della Società distrugga, deteriori, cancelli, alteri o renda inservibili, anche parzialmente, informazioni, dati o programmi informatici altrui. Se il fatto è commesso con abuso della qualità di amministratore del sistema, costituisce una circostanza aggravante. Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.) Tale ipotesi di reato si configura nel caso in cui un rappresentante o un dipendente della Società distrugga, deteriori, cancelli o renda inservibili informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico, o comunque di pubblica utilità. Se il fatto è commesso con abuso della qualità di amministratore del sistema, costituisce una circostanza aggravante. Danneggiamento di sistemi informatici o telematici (art quater c.p.) Tale ipotesi di reato si configura nel caso in cui un rappresentante o un dipendente della Società distrugga, danneggi, deteriori, o renda inservibili, anche parzialmente, sistemi informatici o telematici altrui. Se il fatto è commesso con abuso della qualità di amministratore del sistema, costituisce una circostanza aggravante. Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.) Tale ipotesi di reato si configura nel caso in cui un rappresentante o un dipendente della Società distrugga, danneggi, deteriori, renda inservibili, anche parzialmente, Pag. 5 di 9

6 i sistemi informatici o telematici di pubblica utilità, ovvero ne ostacoli il corretto funzionamento. Se il fatto è commesso con abuso della qualità di amministratore del sistema, costituisce una circostanza aggravante. Frode informatica del certificatore di firma elettronica (art. 640quinquies c.p.) Tale ipotesi di reato si configura nel caso in cui il soggetto che presta servizi di certificazione di firma elettronica violi gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri un danno. Trattandosi di un reato proprio, lo stesso sarà configurabile per la Società qualora la condotta venga posta in essere in concorso con il soggetto che presta servizi di certificazione delle firme elettroniche. E.2 Le fattispecie di reati in Tra i reati in violazione del Diritto d Autore previsti dal Decreto si indicano di seguito quelli astrattamente configurabili nell ambito delle attività svolte da Robert Bosch S.p.A.: Art. 171 bis L. n. 633/1941 Chiunque abusivamente duplica, per trarne profitto,programmi per elaboratore o ai medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla Società italiana degli autori ed editori (SIAE), è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da euro a euro La stessa pena si applica se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a protezione di un programma per elaboratori. La pena non è inferiore nel minimo a due anni di reclusione e la multa a euro se il fatto è di rilevante gravità. Chiunque, al fine di trarne profitto, su supporti non contrassegnati SIAE riproduce, trasferisce su altro supporto, distribuisce, comunica, presenta o dimostra in pubblico il contenuto di una banca di dati in violazione delle disposizioni di cui agli articoli 64-quinquies e 64-sexies, ovvero esegue l'estrazione o il reimpiego della banca di dati in violazione delle disposizioni di cui agli articoli 102-bis e 102- ter, ovvero distribuisce, vende o concede in locazione una banca di dati, è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da euro a euro La pena non è inferiore nel minimo a due anni di reclusione e la multa a euro se il fatto è di rilevante gravità. Pag. 6 di 9

7 E.3 Processo di gestione della sicurezza informatica Con riferimento specifico ai reati di criminalità informatica e di violazione del Diritto d Autore è stato identificato il Processo Sensibile di Gestione del sistema informatico, relativo alle attività connesse alla gestione dei sistemi informativi e alle risorse informatiche aziendali, con particolare riguardo agli aspetti di sicurezza delle diverse aree/attività sensibili rilevanti. Nell ambito di tale Processo Sensibile, è stata effettuata una individuazione delle aree/attività sensibili e, ove possibile, una ulteriore scomposizione in sotto attività, al fine di identificare puntualmente tutte le fasi/attività critiche delle aree individuate. ( omissis ) Pag. 7 di 9

8 E.4 Principi generali di condotta e comportamento e di assetto del sistema di organizzazione, gestione e controllo La presente sezione illustra i principi generali di condotta e comportamento, nonché di assetto del sistema di organizzazione, gestione e controllo che, unitamente ai principi definiti al Capitolo 4 della Parte Generale in materia di componenti del sistema di controllo preventivo ed ai principi specifici sanciti nel paragrafo E.5 dovranno essere seguite dai Destinatari al fine di prevenire il verificarsi dei Reati descritti nei Paragrafi E.1 e E.2. In particolare, tutti i dipendenti e Collaboratori della Società sono tenuti a: astenersi dal tenere comportamenti tali integrare le fattispecie previste dai suddetti reati di criminalità informatica e violazione del diritto d autore, ovvero da comportamenti che, sebbene risultino tali da non costituire di per sé fattispecie di reato rientranti tra quelle sopra considerate, possono potenzialmente diventarlo; rispettare le regole di condotta generale, i principi di controllo e le prescrizioni specifiche formulate nel presente Modello; rispettare le norme, le policy e le procedure aziendali che disciplinano l accesso e l utilizzo dei sistemi e degli applicativi informatici della Società e che contengano principi cui attenersi al fine di rispettare i diritti d autore delle opere dell ingegno di proprietà di terzi; promuovere il rispetto delle suddette norme, regole e principi. Pag. 8 di 9

9 E.5 Principi specifici e componenti del sistema di organizzazione, gestione e controllo Con riferimento alle aree/attività sensibili rappresentate nel Paragrafo E.3 vengono illustrati di seguito i principi specifici e le componenti del sistema di organizzazione, gestione e controllo delineate al fine di disciplinare le attività realizzate nell ambito del Processo Gestione del sistema informatico. ( omissis ) Pag. 9 di 9