Parte Speciale H : I reati informatici. Codice documento: MOG PSH

Transcript

1 Parte Speciale H : I reati informatici Codice documento: MOG PSH

2 REV. BREVE DESCRIZIONE E COMMENTO DATA 0 EMISSIONE REVISIONE Tutti i cambiamenti sono sottoposti all approvazione del Consiglio di Amministrazione (CDA) ed al controllo dell Organismo di Vigilanza (ODV) 2

3 PARTE SPECIALE H 1.1 I reati informatici ex art. 24-bis D.Lgs. 231/01 L art.7, L , n.48 ( Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell ordinamento interno ) pubblicata in G.U. n. 80 del 4 aprile 2008 ha introdotto l art. 24-bis all interno del Decreto il quale: recepisce l art. 491-bis c.p. che, a sua volta, estende le ipotesi di falsità in atti di cui al Libro II, Titolo VII, Capo III c.p. a tutte le fattispecie delittuose in cui una o più delle suddette falsità abbia ad oggetto un c.d. documento informatico ; introduce all interno del Decreto alcune ipotesi di reato in materia di criminalità informatica, già disciplinate all interno del Codice Penale. L articolo 24-bis del D.Lgs. 231/2001, rubricato Delitti informatici e trattamento illecito dei dati così recita: 1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617- quater, 617- quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all'ente la sanzione pecuniaria da cento a cinquecento quote. 2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all'ente la sanzione pecuniaria sino a trecento quote. 3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall'articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all'ente la sanzione pecuniaria sino a quattrocento quote. 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere c), d) ed e). Per crimine informatico si intende ogni comportamento previsto e punito dal Codice Penale o da leggi speciali in cui qualsiasi strumento informatico o telematico rappresenti un elemento determinante ai fini della qualificazione del fatto di reato. 3

4 Si utilizza il termine reato informatico per indicare qualsiasi condotta realizzata per mezzo delle nuove tecnologie o comunque rivolta contro i beni informatici, sanzionata dall ordinamento penale. Può essere considerato quindi reato informatico tanto la frode commessa attraverso il computer che il danneggiamento del sistema informatico. La definizione dottrinaria di crimine informatico include quelle tipologie di crimini in cui un sistema di elaborazione o una sua parte ricopre uno dei seguenti ruoli: oggetto: ciò include la distruzione o la manipolazione dell elaboratore, dei dati e dei programmi in esso contenuti e delle relative apparecchiature di supporto; soggetto: quando l elaboratore è il luogo, il motivo o la fonte del crimine; strumento: quando ciò che avviene in relazione all elaborazione non è di per sé illegale, ma serve a commettere crimini di altro tipo (es. sabotaggio). In pratica un sistema di elaborazione, o ciò che viene prodotto dall elaboratore, è usato come mezzo per compiere frodi, sabotaggi, falsificazioni. 1.2 Tipologie di reati - FALSITA IN UN DOCUMENTO INFORMATICO PUBBLICO O AVENTE EFFICACIA PROBATORIA (ART. 491-bis C.P.) Se alcuna delle falsità previste dal presente Capo riguarda un documento informatico pubblico o privato avente efficacia probatoria, si applicano le disposizioni del Capo stesso concernenti rispettivamente gli atti pubblici e le scritture private (a tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli). Pena fino a 400 quote. - ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO O TELEMATICO (ART ter C.P.) Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. 4

5 - DETENZIONE E DIFFUSIONE ABUSIVA DI CODICI DI ACCESSO A SISTEMI INFORMATICI O TELEMATICI (ART. 615-quater C.P.) Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo. Pena fino a 300 quote. - DIFFUSIONE DI APPARECCHIATURE, DISPOSITIVI O PROGRAMMI INFORMATICI DIRETTI A DANNEGGIARE O INTERROMPERE UN SISTEMA INFORMATICO O TELEMATICO (ART. 615-quinquies C.P.) Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l interruzione, totale o parziale, o l alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro Pena fino a 300 quote. - INTERCETTAZIONE, IMPEDIMENTO O INTERRUZIONE ILLECITA DI COMUNICAZIONI INFORMATICHE O TELEMATICHE (ART. 617-quater C.P.) Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe. 5

6 - INSTALLAZIONE DI APPARECCHIATURE ATTE AD INTERCETTARE, IMPEDIRE O INTERROMPERE COMUNICAZIONI INFORMATICHE O TELEMATICHE (ART. 617-quinquies C.P.) Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi. - DANNEGGIAMENTO DI INFORMAZIONI, DATI E PROGRAMMI INFORMATICI (ART. 635-bis C.P.) Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione. - DANNEGGIAMENTO DI INFORMAZIONI, DATI E PROGRAMMI INFORMATICI UTILIZZATI DALLO STATO O DA ALTRO ENTE PUBBLICO O COMUNQUE DI PUBBLICA UTILITÀ (ART. 635-ter C.P.) Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione. - DANNEGGIAMENTO DI SISTEMI INFORMATICI O TELEMATICI (ART quater C.P.) Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all articolo 635-bis, ovvero attraverso l introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento. 6

7 - DANNEGGIAMENTO DI SISTEMI INFORMATICI O TELEMATICI DI PUBBLICA UTILITÀ (ART. 635-quinquies C.P.) Il fatto di cui all articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento. - FRODE INFORMATICA COMMESSA CON SOSTITUZIONE D IDENTITÀ DIGITALE (ART. 640-ter C.P.) Chiunque alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità sui dati, informazioni e programmi contenuti in un sistema informatico o telematico o ad essi pertinenti, procura a se e ad altri un ingiusto profitto con altrui danno. - FRODE INFORMATICA DEL SOGGETTO CHE PRESTA SERRVIZI DI CERTIFICAZIONE DI FIRMA ELETTRONICA (ART. 640-quinquies C.P.) Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a euro. Pena fino a 400 quote. 7

8 2. Aree di rischio All interno della mappatura dei rischi legati ai reati in oggetto, è ovvio che, essendo gli strumenti informatici e le comunicazioni telematiche diffuse in azienda, difficilmente potrà essere trovata un area non strettamente legata alla possibilità di commettere tale tipo di reati. Dall analisi critica effettuata delle procedure in essere e dalle risposte fornite in sede di intervista, è emerso che le aree più specificamente a rischio di commissione di delitti informatici e trattamento illecito dei dati fanno riferimento alle seguenti attività: - Predisposizione, gestione ed implementazione di accessi account e profili; - Predisposizione e gestione della rete informatica; - Gestione dei sistemi software; - Gestione degli accessi fisici al sistema informatico. Le attività attraverso le quali possono essere commessi i reati contemplati nella presente Parte Speciale e trattati in modo illecito i dati aziendali informatici, sono proprie di ogni ambito aziendale che utilizzi le tecnologie dell informazione. Raico ha predisposto appositi presidi organizzativi e si è dotata di adeguate soluzioni di sicurezza, in conformità anche alle disposizioni del Decreto Legislativo 30 giugno 2003, n.196 Codice in materia di protezione dei dati personali, a mezzo di redazione ed aggiornamento annuale del Documento Programmatico sulla Sicurezza ed Allegati per prevenire e controllare i rischi in tema di tecnologia dell informazione, a tutela del proprio patrimonio informativo e dei dati personali dei soggetti interessati (clienti, fornitori, personale dipendente, collaboratori, ecc.). Eventuali integrazioni delle suddette attività a rischio, ivi incluse quelle afferenti la mappatura delle aree a rischio, potranno essere proposte dall OdV della Società, al quale viene dato mandato di individuare le relative ipotesi e di definire gli opportuni provvedimenti operativi, fatto salvo l obbligo di sottoporre le novità al Consiglio di Amministrazione per l approvazione. 8

9 2.1 I processi strumentali relativi ai reati tema di criminalità informatica e di trattamento illecito di dati societari (art. 24-bis del decreto) Seguendo la stessa metodologia utilizzata per l individuazione delle attività a rischio reato, sono state individuate, nell ambito della struttura organizzativa ed aziendale, i processi considerati strettamente strumentali, ovvero quei processi c.d. di supporto alle attività che insistono sulle aree a rischio reato. Nell ambito di ciascuna attività strumentale, sono stati, inoltre, individuati i Ruoli Aziendali coinvolti e le relative attività c.d. sensibili. Sono stati, infine, individuati i principali protocolli preventivi che insistono su ciascuna area strumentale Di seguito è riepilogato il quadro in precedenza esposto. Con riferimento agli illeciti sopra elencati, i processi strumentali collegati alle m acro aree sensibili ritenute più specificamente a rischio risultano essere i seguenti: Ruoli Aziendali Coinvolti: Sistemi informativi Attività Sensibili: a) Gestione dell attività di sviluppo di nuovi sistemi informativi; b) Gestione dell attività di manutenzione dei sistemi esistenti; c) Gestione dell attività di elaborazione dei dati; d) Gestione della sicurezza informatica sia a livello fisico che a livello logico: 1. Configurazione delle security policy dei firewall ai fini della tutela delle intrusioni esterne; 2. Gestione e protezione dei back up dei dati; 3. Elaborazione di un Disaster Recovery Plan a tutela del patrimonio informativo. 9

10 3. Protocolli generali ai Destinatari La presente Parte Speciale si applica a tutte le funzioni coinvolte nella gestione e nell utilizzo dei sistemi informatici e del patrimonio informativo ed in particolare si riferisce ai comportamenti posti in essere da Amministratori, Dirigenti e Dipendenti dell Azienda, nonché da Partner e Collaboratori esterni con essa operanti sulla base di un rapporto contrattuale. In particolare, si applica a: tutte le funzioni coinvolte nella gestione e l utilizzo dei sistemi informativi che si interconnettono/utilizzano software della Pubblica Amministrazione ovvero delle eventuali Autorità di Vigilanza; tutte le funzioni deputate alla progettazione, alla realizzazione o gestione di strumenti informatici, tecnologici o di telecomunicazioni; tutte le funzioni che hanno la responsabilità di realizzare interventi di tipo organizzativo, normativo e tecnologico per garantire la protezione del patrimonio informativo nelle attività connesse con il proprio mandato e nelle relazioni con i terzi che accedono al patrimonio informativo (ad esempio le società incaricate di effettuare manutenzioni e aggiornamenti hardware e software o che comunque abbiano accesso al sistema informativo di Raico); tutte le figure professionali coinvolte nei processi aziendali e ivi operanti a qualsiasi titolo, sia esso riconducibile ad un rapporto di lavoro dipendente ovvero a qualsiasi altra forma di collaborazione o prestazione professionale, che utilizzano i sistemi informativi e trattano i dati del patrimonio informativo; tutti i soggetti (persone fisiche e persone giuridiche) esterni alla società, che per ragioni di competenza specifiche e professionalità, sono investiti della carica di Amministratori di Sistema di Raico. 4. Protocolli Speciali relativi alle aree di rischio Nell espletamento della propria attività per conto della Società, gli Amministratori, i dirigenti, i dipendenti ed i collaboratori stessi di Raico, nonché in generale tutti i soggetti elencati al paragrafo precedente, devono rispettare le norme di comportamento di seguito indicate. A tutti i soggetti sopra indicati è fatto divieto di: porre in essere, collaborare o dare causa alla realizzazione di comportamenti tali da integrare le fattispecie di reato richiamate nella presente Parte Speciale; 10

11 porre in essere, collaborare o dare causa alla realizzazione di comportamenti i quali, sebbene risultino tali da non costituire di per sé reato, possano potenzialmente diventarlo. In particolare è fatto obbligo: a) del Responsabile dei Sistemi Informativi di denunciare alla Direzione ed all OdV eventuali accessi al sistema informatico aziendale da parte di hacker; b) ai dipendenti, collaboratori, dirigenti ed amministratori di attenersi alle procedure ed istruzioni operative (aggiornate annualmente e consegnate a tutti gli incaricati autorizzati ad accedere al sistema informatico della società) contenute nel Documento Programmatico sulla Sicurezza ed Allegati (D.Lgs. 196/03) di Raico in riferimento all utilizzo del Sistema Informatico, e nello specifico in relazione a: - utilizzo del personal computer; - utilizzo della rete Raico; - gestione delle password; - utilizzo dei supporti magnetici; - utilizzo dei pc portatili; - uso della posta elettronica; - uso della rete Internet e dei relativi servizi; - policy in materia di privacy e riservatezza del know-how. Pertanto, è nello specifico fatto divieto: ai dipendenti, collaboratori, dirigenti ed amministratori di installare nella rete aziendale un proprio software che non rientri nello scopo per cui il sistema informatico è stato assegnato all utente, al fine di evitare il rallentamento o il blocco della rete informatica aziendale; ai dipendenti, collaboratori, dirigenti ed amministratori di installare nella rete aziendale un proprio software che possa impedire o interrompere o danneggiare le comunicazioni informatiche aziendali ovvero l intero sistema informatico aziendale. E, comunque, necessario: che tutte le attività e le operazioni svolte per conto di Raico siano improntate al massimo rispetto delle leggi vigenti, nonché dei principi di correttezza e trasparenza. 11

12 4.1 - Documento Programmatico sulla Sicurezza (D.P.S.S.) La revisione sistematica e l applicazione delle procedure contenute sarà a cura del Responsabile dei Sistemi Informativi, il quale potrà avvalersi, in accordo con la Direzione, della consulenza esterna a Raico di esperti in materia di D.Lgs. 196/03 e D.Lgs. 231/01. All interno del DPS sono analizzate: - Organizzazione aziendale in funzione al trattamento dei dati personali; - Organizzazione dei trattamenti; - Diffusione/comunicazione dati; - Misure organizzative di sicurezza: 1. Istruzioni al personale; 2. Attribuzioni compiti; 3. Assunzioni di responsabilità; 4. Controlli; 5. Aggiornamento ed eliminazione dati; 6. Gestione del personale ed attribuzioni di responsabilità dei consulenti del lavoro; 7. Rapporti di consulenza informatica; 8. Amministratore di sistema - Misure fisiche di sicurezza: 1. Integrità dei dati; 2. Continuità di accesso dei dati; 3. Procedura di disaster recovery; 4. Vigilanza sugli accessi; 5. Utilizzo, reimpiego e distruzione dei supporti informatici; - Misure logiche di sicurezza: 1. Credenziali di autenticazione; 2. Accessi selettivi; 3. Accesso ai dati da parte dell amministratore di sistema; 4. Misure antintrusione (Firewall) 5. Protezione dell integrità e della disponibilità dei dati. Sono analizzate, inoltre, le situazioni aziendali ed organizzate le procedure a garanzia della sicurezza nei trattamenti dei dati. In particolare, per quel che riguarda i rischi contemplati nella presente parte speciale, è volta l analisi: dei server; delle misure di sicurezza per i trattamenti informatici (Allegato B del Codice Privacy); degli strumenti antivirus; 12

13 dei sistemi anti-intrusione; dei firewall; dei piani di Disaster Recovery. Sarà comunque cura del Responsabile dei Sistemi Informativi monitorare semestralmente che non siano intervenute modifiche sostanziali alla struttura di Raico che possano implicare una revisione preventiva dei documenti Privacy. 5 - Istruzioni e verifiche dell Organismo di Vigilanza L attività dell Organismo di Vigilanza sarà svolta in collaborazione con le funzioni preposte ai Sistemi Informativi: 1. Responsabile del Trattamento dei Sistemi Informativi 2. Amministratore/i di Rete (se nominati) 3. Direzione In tal senso è previsto un flusso informativo completo e costante tra dette funzioni e l Organismo di Vigilanza, come specificato nella presente Parte Speciale e nella Parte Speciale relativa ai Delitti in materia di violazione del diritto d autore al fine di ottimizzare le attività di verifica e lasciando all Organismo di Vigilanza il compito di monitorare il rispetto e l adeguatezza del Modello. 13

14 ALLEGATO Tabella riepilogativa delle misure interdittive: ter quater quinquies quater quinquies bis quater quinquies ter quinquies a Interdizione dall'esercizio dell'attività SI NO NO SI SI SI SI SI SI NO b c d e Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per l illecito SI SI SI SI SI SI SI SI SI NO Divieto di contrattare con la pubblica NO NO NO NO NO NO NO NO NO SI amministrazione Esclusione da, ed eventuale revoca di, agevolazioni, NO NO NO NO NO NO NO NO NO SI finanziamenti, contributi o sussidi Divieto di pubblicizzare beni o servizi SI SI SI SI SI SI SI SI SI SI 14