MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO SIAE. Società Italiana Autori ed Editori. (ex Decreto Legislativo n. 231/2001)

Transcript

1 Mdell di Organizzazine, Gestine e Cntrll Parte Speciale B Reati Infrmatici e Trattament illecit dei dati e delitti in MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO di SIAE Scietà Italiana Autri ed Editri (ex Decret Legislativ n. 231/2001) PARTE SPECIALE B REATI INFORMATICI, TRATTAMENTO ILLECITO DEI DATI E DELITTI IN VIOLAZIONE DEL DIRITTO D AUTORE 1

2 INDICE 1. Le fattispecie dei reati Premessa I reati di cui all'art. 24-bis del Decret Legislativ n.231/ I reati di cui all'art. 25-nvies del Decret Legislativ n.231/ Funzine della Parte Speciale Prcessi Sensibili nell'ambit dei reati infrmatici, trattament illecit dei dati e delitti in materia di Ruli e Respnsabilità Principi generali di cmprtament Principi di riferiment relativi alle prcedure aziendali specifiche I cntrlli dell Organism di Vigilanza

3 1. Le fattispecie dei reati 1.1 Premessa Ai fini di una miglire cmprensine della nrmativa in materia di respnsabilità amministrativa degli enti, di seguit sn descritti, per tratti essenziali, i reati la cui cmmissine da parte dei sggetti ricnducibili alla Scietà può ingenerare respnsabilità della scietà stessa. La presente Parte Speciale B è dedicata alla trattazine delle attività di gestine ed utilizz dei sistemi infrmativi aziendali ptenzialmente a rischi strumentali per la realizzazine dei reati infrmatici e trattament illecit dei dati, csì cme previsti dai reati rilevanti ai sensi dell art. 24-bis del Decret, nnché di delitti in materia di vilazine dei diritt di autre ex art. 25-nvies del Decret. Nei due paragrafi successivi sn illustrate in dettagli le fattispecie di reat cntemplate nei citati articli, cn l indicazine (mediante sttlineatura) la cui cmmissine ptenziale è emersa durante l analisi di SIAE. Per una trattazine cmpleta delle iptesi di reat previste dal D.Lgs. 231/2001, cmprensiva del test e di una casistica sintetica, si veda SIAE MOGC Parte Generale, allegat 1 I reati e gli illeciti amministrativi per i quali trva applicazine il D.Lgs. 231/ I reati di cui all'art. 24-bis del Decret Legislativ n.231/2001 Access abusiv ad un sistema infrmatic telematic (art 615-ter c.p.) Art. 617-quater c.p. Intercettazine, impediment interruzine illecita di cmunicazini infrmatiche telematiche Art. 617-quinquies c.p. Installazine di apparecchiature atte ad intercettare, impedire d interrmpere cmunicazini infrmatiche telematiche Danneggiament di infrmazini, dati e prgrammi infrmatici (art. 635-bis c.p.) Art. 635-ter c.p. Danneggiament di infrmazini, dati e prgrammi infrmatici utilizzati dall Stat da altr ente pubblic cmunque di pubblica utilità Danneggiament di sistemi infrmatici telematici (art. 635-quater c.p.) Art. 635-quinquies c.p. Danneggiament di sistemi infrmatici telematici di pubblica utilità Detenzine e diffusine abusiva di cdici di access a sistemi infrmatici telematici (art. 615-quater c.p.) Art. 615-quinquies c.p. Diffusine di apparecchiature, dispsitivi prgrammi infrmatici diretti a danneggiare interrmpere un sistema infrmatic telematic Falsità in un dcument infrmatic pubblic privat (art. 491-bis c.p.) Frde infrmatica del sggett che presta servizi di certificazine di firma elettrnica (art quinquies c.p.) 3

4 1.3 I reati di cui all'art. 25-nvies del Decret Legislativ n.231/2001 Vilazine del diritt d autre. (art. 171-bis L. 633/41) 4

5 2. Funzine della Parte Speciale Obiettiv della presente Parte Speciale è cnsentire che i cmpnenti degli Organi Sciali, i Dipendenti, i Cnsulenti e Mandatari, cinvlti nei Prcessi Sensibili, mantengan cndtte cnfrmi ai principi di riferiment di seguit enunciati, al fine di prevenire la cmmissine dei reati indicati nel paragraf precedente. Si è già dett nella Parte Generale che il perseguiment delle finalità di prevenzine dei Reati richiede una ricgnizine dei meccanismi di funzinament e di cntrll dell'azienda, nnché la verifica dell'adeguatezza dei criteri di attribuzine delle respnsabilità all'intern della struttura. In tal sens, si sn individuati in generale i presidi principali per l'attuazine delle vigenti previsini nrmative, cstituiti da: a) Mdell di rganizzazine, gestine e cntrll; b) Cdice di Cmprtament; c) sistema sanzinatri; d) sistema di cmunicazine. All stess md, sn stati individuati gli elementi caratteristici di ciascun presidi principale ed in particlare: a) l'istituzine di un Organism di Vigilanza autnm ed indipendente cui è affidat il cmpit di cntrllare il grad di effettività, adeguatezza, manteniment ed aggirnament del Mdell, la predispsizine di meccanismi prcedurali vlti a razinalizzare le fasi di assunzine ed attuazine delle scelte decisinali, in un'ttica di dcumentabilità e verificabilità delle varie fasi del prcess, l'adzine di un sistema chiar di ripart dei cmpiti e delle respnsabilità, l'peratività di un sistema di flussi infrmativi tra le diverse strutture aziendali e dalle stesse all'organism di Vigilanza, l'adzine di un sistema di reprting dell'organism di Vigilanza vers gli Organi Sciali, la predispsizine di validi strumenti di cntrll (a titl esemplificativ, schede infrmative, database dei rischi, criteri di selezine di Dipendenti e dei Mandatari); b) l'adzine di un Cdice di Cmprtament che cstituisce la carta dei valri della scietà, debitamente diffus a tutti i cmpnenti della struttura aziendale, ai Mandatari ed alle cntrparti cntrattuali, cstantemente aggirnat e mnitrat; c) l'adzine di un sistema disciplinare vlt a garantire efficacia ed effettività alle prescrizini interne; d) la predispsizine di un sistema di cmunicazine capillare, efficace, dettagliat, cmplet e cstante, attravers ad esempi manuali perativi, piani di frmazine del persnale, reti intranet, numeri verdi interni. In questa Parte Speciale sn invece individuati i principi specifici relativi ai Prcessi Sensibili, in relazine ai reati di cui al paragraf precedente. Verrann quindi indicati: 5

6 le aree e/ i prcessi aziendali definiti "sensibili" vver a rischi di specific reat; i principi fndamentali di riferiment in attuazine dei quali dvrann essere adttate le prcedure aziendali ai fini della crretta applicazine del Mdell; i principi di riferiment che dvrann presiedere alle attività di cntrll, mnitraggi e verifica dell'organism di Vigilanza e dei respnsabili delle altre strutture aziendali che cn l stess cperan, debitamente reglate in appsite prcedure e/ reglamenti interni da adttare ai fini della crretta applicazine del Mdell. 6

7 3. Prcessi Sensibili nell'ambit dei reati infrmatici, trattament illecit dei dati e delitti in materia di Le fattispecie di reat indicate sub par. 1 si applican, in via ptenziale, a tutte le Divisini / Uffici / Servizi di SIAE (sian essi dipendenti cllabratri) che, nell espletament delle attività di prpria cmpetenza, sian cinvlte a qualsiasi titl nell ambit delle attività di gestine e utilizz dei sistemi infrmativi aziendali al fine di prevenire la cmmissine delle fattispecie di reat realizzabili previste dai spraccitati articli del Decret. I prcessi aziendali di SIAE per i quali emerge un rischi ptenziale di cmmissine di reati in quest ambit sn: Servizi Infrmativi e Sicurezza. Anche se tutti i prcessi e le strutture aziendali sn ptenzialmente cinvlti, data la pervasività nell us dei sistemi infrmatici. In particlare, in tale ambit di respnsabilità della Direzine Sistemi Infrmativi e Svilupp Prcessi, le aree di attività ritenute più specificamente a rischi, quali sn state individuate in sede di identificazine dei Prcessi Sensibili (c.d. as-is analysis, per la quale si veda il cap. 7 della Parte Generale), sn le seguenti: 1. Gestine degli accessi lgici ai dati e ai sistemi; 2. Gestine dei backup; 3. Gestine di sftware, apparecchiature, dispsitivi prgrammi infrmatici (change management); 4. Gestine della sicurezza della rete; 5. Gestine della sicurezza fisica. 7

8 4. Ruli e Respnsabilità I prcessi relativi alle suddette aree di attività fann riferiment alle seguenti unità rganizzative aziendali: Direzine Sistemi Infrmativi e Svilupp Prcessi che detiene la respnsabilità gestinale sul prcess e gestisce gli applicativi ed i sistemi per tutta la scietà. Tutte le Divisini / Uffici / Servizi di SIAE (sian essi dipendenti cllabratri) che, nell espletament delle attività di prpria cmpetenza, sian cinvlte a qualsiasi titl nell ambit delle attività di gestine e utilizz dei sistemi infrmativi aziendali al fine di prevenire la cmmissine delle fattispecie di reat realizzabili previste dai spraccitati articli del Decret. 8

9 5. Principi generali di cmprtament Ai fini della Parte Speciale B, sn stati individuati i Principi di Cmprtament cui il persnale della SIAE (cfr. Cap. 4, Destinatari, Parte Generale), a qualsiasi titl cinvlt nelle attività di gestine e utilizz dei sistemi infrmativi, deve attenersi. Pertant, i destinatari devn: utilizzare le risrse infrmatiche assegnate esclusivamente per l espletament della prpria attività; utilizzare gli strumenti aziendali nel rispett delle prcedure e delle plicies aziendali definite; custdire accuratamente le prprie credenziali d'access ai sistemi infrmativi della SIAE e aggirnare peridicamente le passwrd, evitand che terzi sggetti pssan venirne a cnscenza; utilizzare beni prtetti dalla nrmativa sul diritt d autre nel rispett delle regle ivi previste; limitare la navigazine in internet e l utilizz della psta elettrnica attravers i sistemi infrmativi aziendali alle sle attività lavrative. Ciascun Respnsabile di Divisine / Uffici / Servizi, per la prpria unità di pertinenza, deve gestire l abilitazine degli accessi ai siti di enti pubblici privati che richiedan credenziali di access (user-id, passwrd e/ Smart Card). Il persnale della Direzine Sistemi Infrmativi e Svilupp Prcessi, in base al prpri rul ed alla prpria respnsabilità, deve: verificare la sicurezza della rete e dei sistemi infrmativi aziendali e tutelare la sicurezza dei dati; identificare le ptenziali vulnerabilità nel sistema dei cntrlli infrmatici; valutare la crretta implementazine tecnica del sistema deleghe e pteri aziendale a livell di sistemi infrmativi ed abilitazini utente al fine di rendere pssibile la crretta segregazine dei cmpiti; garantire, sui diversi applicativi aziendali, l applicazine delle regle atte ad assicurare l aggirnament delle passwrd dei singli utenti; installare a tutti gli utenti esclusivamente sftware riginali, debitamente autrizzati e licenziati; mnitrare l infrastruttura tecnlgica al fine di garantirne la manutenzine e la sicurezza fisica; effettuare le attività di backup e prvvedere al crrett manteniment dei file di lg generati dai sistemi; garantire la manutenzine sftware e hardware dei sistemi e un prcess di change management segregat; 9

10 vigilare sulla crretta applicazine di tutti gli accrgimenti ritenuti necessari al fine di frnteggiare, nell specific, i delitti infrmatici e il trattament dei dati suggerend gni più pprtun adeguament. Inltre, le attività svlte da parte di frnitri terzi in materia di: netwrking; gestine applicativi; gestine sistemi hardware. devn rispettare i principi e le regle aziendali, al fine di tutelare la sicurezza dei dati ed il crrett access da parte dei sggetti ai sistemi applicativi ed infrastrutturali. È fatt esplicit diviet di: utilizzare le risrse infrmatiche (es. persnal cmputer fissi prtatili, dispsitivi di memrizzazine prtatile ecc.) assegnate dalla SIAE per finalità diverse da quelle lavrative; prre in essere cndtte, anche cn l ausili di sggetti terzi, miranti all access a sistemi infrmativi altrui cn l biettiv di: acquisire abusivamente infrmazini cntenute nei suddetti sistemi infrmativi; danneggiare, distruggere dati cntenuti nei suddetti sistemi infrmativi; utilizzare abusivamente cdici d access a sistemi infrmatici e telematici nnché prcedere alla diffusine degli stessi; prre in essere cndtte miranti alla distruzine all alterazine dei dcumenti infrmatici aventi finalità prbatria ai sensi del D.Lgs. 231; utilizzare installare prgrammi diversi da quelli autrizzati dalla Direzine Sistemi Infrmativi e Svilupp Prcessi; effettuare dwnlad illegali trasmettere a sggetti terzi cntenuti prtetti dal diritt d autre; utilizzare imprpriamente i sistemi per la prduzine di smart card (Card Management System) per i titlari delle biglietterie; accedere ad aree riservate (quali server rms, lcali tecnici, ecc.) senza idnea autrizzazine, tempranea permanente; aggirare tentare di aggirare i meccanismi di sicurezza aziendali (antivirus, firewall, prxy server, ecc.); lasciare il prpri persnal cmputer altri dispsitivi di memrizzazine prtatile incustditi e senza prtezine; rivelare ad alcun le prprie credenziali di autenticazine (nme utente e passwrd) alla rete aziendale anche ad altri siti/sistemi; 10

11 detenere diffndere abusivamente cdici di access a sistemi infrmatici telematici di terzi di enti pubblici; intercettare, impedire interrmpere illecitamente cmunicazini infrmatiche telematiche; utilizzare in md imprpri gli strumenti di firma digitale assegnati; alterare in qualsiasi md il funzinament di un sistema infrmatic telematic della Pubblica Amministrazine, intervenire senza diritt cn qualsiasi mdalità su dati, infrmazini prgrammi cntenuti in un sistema infrmatic telematic della Pubblica Amministrazine, al fine di prcurare un vantaggi per SIAE; entrare nella rete aziendale e nei prgrammi cn un cdice d identificazine utente divers da quell assegnat. Di seguit sn espsti i principi generali di cntrll, relativi alle prcedure aziendali, vlti alla prevenzine dei reati infrmatici, del trattament illecit dei dati e dei delitti in materia di. 11

12 6. Principi di riferiment relativi alle prcedure aziendali specifiche Al fine di frnire la necessaria infrmativa all OdV circa l aderenza alle nrme di cmprtament sancite dal Mdell e le evidenze di funzinalità dei meccanismi di cntrll svlte, le strutture cinvlte nelle single aree di rischi garantirann la dcumentabilità (cmprvante il rispett della nrmativa e delle regle di cmprtament e di cntrll previste dal Mdell) dei prcessi seguiti, frnend all Organism di Vigilanza la dcumentazine necessaria. Le Unità Organizzative cinvlte nella gestine delle attività ptenzialmente a rischi sn tenute a frnire adeguata cmunicazine all Organism di Vigilanza secnd le mdalità e le tempistiche indicate nel dcument di reglamentazine dei Flussi infrmativi vers l Organism di Vigilanza. In questa sezine si riprtan i principi di cntrll vlti a prevenire i cmprtamenti illeciti previsti dagli artt. 24, 24-bis e 25 nvies del D.Lgs. 231/2001. Le mdalità perative per la gestine delle attività in ggett sn disciplinate anche nei seguenti dcumenti: Dcument Prgrammatic sulla Sicurezza; Cdice di Cmprtament/Cdice Etic; Infrmatin Security Plicy; Specific Security Plicy - Classificazine delle Infrmazini; Specific Security Plicy - Cntrll degli accessi; Specific Security Plicy - Gestine dei supprti rimvibili. I principi di cntrll sn di seguit elencati: svlgiment peridic di attività di valutazine dei rischi nell ambit della gestine dei sistemi infrmativi; l attivazine, la mdifica la cessazine di un prfil utente sn autrizzate da parte del Respnsabile di Divisine/ Uffici / Servizi; verifica peridica, da parte di ciascun Respnsabile di Divisine / Uffici / Servizi, delle credenziali utente al fine di prevenire eventuali errnee abilitazini ai sistemi applicativi; tutti i dati trattati in azienda sn classificati e il lr access è prfilat; la cmunicazine della prima passwrd di access ai sistemi infrmativi avviene in mdalità cnfidenziale ed è cura di gni dipendente la successiva sstituzine, custdia e nn divulgazine; la Scietà ha implementat meccanismi di sicurezza lgica, tra cui a titl esemplificativ e nn esaustiv: utilizz di accunt e passwrd; 12

13 accessi prfilati alle cartelle di rete; le credenziali di autenticazine ai sistemi infrmativi sn gestite cn criteri equipllenti a quant previst dal D.Lgs. 196/2003 e s.m.i. (tra cui la previsine di vincli di sicurezza alfanumerici della passwrd, plitiche di rinnv peridic delle passwrd, ecc.); L access ai sistemi infrmativi avviene tramite autenticazine univca dell utente; Gli indirizzi di psta elettrnica di cui sn dtati i dipendenti sn nminativi e a esclusiv us lavrativ; l access ai sistemi per la prduzine di smart card è cnsentit ad un grupp limitat di dipendenti appartenenti alla Funzine CMS (Card Management System); la prtezine cntr ptenziali attacchi esterni di tutti i server e le wrkstatins della SIAE (pstazini fisse e prtatili) è garantita attravers l utilizz di sftware antivirus (aggirnat in md autmatic,che effettua cntrlli in entrata e in uscita); prtezine cntr ptenziali attacchi esterni attravers l utilizz di firewall, IPS e segregazine delle reti. gli asset IT (desktp, prtatili, ecc.), sn ggett di censiment e sn dtati di un respnsabile di riferiment; la Direzine Sistemi Infrmativi e Svilupp Prcessi effettua tutti gli aggirnamenti dei sistemi perativi e degli applicativi suggeriti dai prduttri al fine di limitare i pssibili rischi legati a vulnerabilità riscntrate negli stessi; la SIAE rilascia certificati elettrnici e di firma digitale aventi validità esclusiva per i sistemi di biglietterie autmatizzate; slamente il persnale della Direzine Sistemi Infrmativi e Svilupp Prcessi è autrizzat ad installare sftware sulle pstazini di lavr dei dipendenti; tutti i prgrammi installati sulle pstazini di lavr sn dtati di licenza; il persnale della Direzine Sistemi Infrmativi e Svilupp Prcessi effettua il cntrll dei sftware installati sulle pstazini di lavr dei dipendenti attravers un sistema di sftware inventry della macchina (LAN Desk); il persnale della Direzine Sistemi Infrmativi e Svilupp Prcessi effettua una verifica annuale dei sftware presenti sulle pstazini dei vari utenti, rimuvend i sftware vietati privi di licenza; sn effettuati cntrlli peridici dei sftware installati sui server; la Direzine Sistemi Infrmativi e Svilupp Prcessi definisce dei piani di backup peridici di dati, file, prgrammi e sistemi perativi, al fine di garantire la salvaguardia del patrimni infrmativ; 13

14 i backup sn pprtunamente cnservati e sn eseguiti i relativi test di restre all scp di verificare l integrità dei dati archiviati; sn predispsti specifici ambienti di svilupp e test fisicamente e/ lgicamente separati dall ambiente di prduzine; slamente le persne autrizzate pssn rilasciare aggirnamenti hardware e sftware in ambiente di prduzine; quand necessari (ad esempi, quand sn richieste mdifiche funzinali) è previst il cinvlgiment dell utente nelle attività di test; sn previste delle regle di gestine e mnitraggi dei lg relativi alla tracciatura degli accessi ai sistemi e alle infrmazini critiche, cn particlare riferiment alle attività degli amministratri di sistema; l access ad internet è reglamentat e risulta essere filtrat da un sistema di web filtering; l access tramite VPN è cnsentit, tramite USB internet key e/ tken, al sl persnale abilitat e pprtunamente identificat; esecuzine di attività di mnitraggi sugli apparati di rete; esecuzine peridica di attività di vulnerability assessment e penetratin test; l access al Data Center è cnsentit tramite badge al sl persnale autrizzat. sn presenti prcedure di abilitazine e disabilitazine dei badge per l access al Data Center; esecuzine di cntrlli peridici del persnale autrizzat ad accedere alle aree tecniche e al Data Center; il server dedicat alla Funzine CMS per i servizi di biglietteria autmatizzata è ubicat in un lcale divers dal Data Center; l access al lcale CMS è cnsentit tramite badge al sl persnale autrizzat; l access alle aree riservate di siti di enti pubblici privati è cnsentit sl a persnale preventivamente autrizzat (tramite nme utente e passwrd, tken di autenticazine e smart card). 14

15 7. I cntrlli dell Organism di Vigilanza Ferm restand il ptere discrezinale dell'organism di Vigilanza di attivarsi cn specifici cntrlli a seguit delle segnalazini ricevute, l'organism di Vigilanza effettua peridicamente cntrlli a campine, diretti a verificare la crretta esplicazine delle attività cnnesse ai Prcessi Sensibili relativi ai reati infrmatici, al trattament illecit dei dati ed ai delitti i materia di, anche in relazine ai principi espressi nel presente dcument (esistenza e adeguatezza della prcura, limiti di spesa, reglare effettuazine del reprting vers gli rgani deputati, ecc.) e, in particlare, alle prcedure interne in essere. A tal fine, si ribadisce che all'organism di Vigilanza deve essere garantit, da parte di tutta la struttura della SIAE, liber access a tutta la dcumentazine aziendale rilevante. Di detti cntrlli l'organism di Vigilanza riferisce al Cnsigli di Gestine ed al Direttre Generale. 15