PARTE SPECIALE C REATI INFORMATICI SINTESI

Transcript

1 CONGREGAZIONE DELLE SUORE FIGLIE DI SAN GIUSEPPE DEL CABURLOTTO PARTE SPECIALE C REATI INFORMATICI SINTESI Con riferimento al D.Lgs. 231/01 e s.m.i., rev.0 del 15 luglio 2013

2 2/16

3 MODELLO DI ORGANIZZAZIONE GESTIONE E CONTROLLO Il Decreto Legislativo 8 giugno 2001 n. 231 ha stabilito, in un ampio processo legislativo di lotta alla corruzione, un regime di responsabilità amministrativa ( di fatto penale) a carico delle persone giuridiche, responsabilità che affianca quella propriamente penale della persona fisica autrice materiale del reato e che mira a coinvolgere nella punizione dello stesso gli Enti, nel cui interesse o vantaggio il reato è stato commesso. Tale nuova responsabilità sussiste soltanto per quei reati (indicati nel testo vigente del decreto 231/01) per i quali il regime di responsabilità è espressamente previsto, e non invece per tutti i reati previsti nel nostro ordinamento giuridico. Le sanzioni per l Ente che viene ritenuto responsabile ex DLgs 231/01 sono disciplinate dagli artt del suddetto decreto e si dividono in sanzioni pecuniarie (artt ) e sanzioni interdittive (artt ). Stante la gravità delle sanzioni comminate in caso di accertata responsabilità amministrativa, il legislatore del Dlgs 231/01 ha altresì previsto che l Ente possa andare esente da responsabilità qualora abbia adottato ante factum ( ossia prima della commissione del reato) un modello di organizzazione, gestione e controllo idoneamente attuato per prevenire reati della stessa specie di quello verificatosi. Le caratteristiche essenziali per la costruzione di un modello di organizzazione, gestione e controllo, sono descritte nell art. 6, comma 2, D.Lgs. 231/01 che di fatto, seppur utilizzando un linguaggio prevalentemente giuridico, descrive un tipico sistema di gestione dei rischi enteli. Nella costruzione del presente modello si è quindi proceduto : A) ad identificare i rischi, ovvero ad analizzare il contesto aziendale per evidenziare in quale area e secondo quali modalità si possono verificare eventi pregiudizievoli per gli obiettivi indicati dal Dlgs 231/01; B) a valutare il sistema esistente all interno dell Ente ed il suo eventuale adeguamento in termini di capacità di contrastare efficacemente, cioè ridurre ad un livello accettabile, i rischi identificati. PARTE SPECIALE C : REATI INFORMATICI Il Dlgs 231/01 ha recepito con L. 48/08, art. 7, la Convenzione del Consiglio d Europa sulla criminalità informatica, redatta a Budapest il 23 novembre A seguito della ratifica ed esecuzione della Convenzione suddetta dopo l art. 24 del Dlgs 231/01 è stato inserito l art. 24 bis Delitti informatici e trattamento illecito dei dati che verranno trattati nel proseguo. Si segnala, inoltre, che l entrata in vigore del Dlgs. 93 del 14/08/2013 ha comportato l introduzione dei seguenti nuovi reati nella sezione dedicata all art. 24 bis e, precisamente: 3/16

4 -frode informatica con sostituzione d identità digitale; - indebito utilizzo, falsificazione, alterazione di carte di credito o di pagamento; - illeciti penali in tema di trattamento dei dati personali ( trattamento illecito di dati, falsità nelle dichiarazioni e notificazioni al Garante ) Prima di passare all esame delle singole fattispecie è opportuno operare una distinzione tra reati informatici in senso stretto e reati commessi attraverso l uso dei sistemi informatici. Reati informatici: sono quei reati che hanno come obiettivo il sistema informatico o telematico altrui o i dati, le informazioni e i programmi ad esso pertinenti. Si tratta dei reati descritti dagli artt. 615-ter, 615- quinquies, 617- quater, 617- quinquies e 635-ter, 635- quinquies. Reati commessi attraverso l uso di un sistema informatico: sono quei reati di falsità connesse a documenti informatici (art. 491-bis c.p.) e di frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.)., nonché le nuove fattispecie introdotte con il Dlgs 93/13. ELENCO DELLE FATTISPECIE DI REATO Si segnala che sono state espunte dalla presente versione di sintesi quelle fattispecie riportate nella versione integrale della parte speciale sui reati informatici per le quali non si ravvisa il pericolo di commissione. REATI INFORMATICI Accesso abusivo ad un sistema informatico o telematico ( art. 615-ter c.p.) Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha diritto di escluderlo, è punito con la reclusione fino a atre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con la violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; 3) Se dal fatto deriva la distruzione o il danneggiamento del sistema o l interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è rispettivamente, della reclusione da uno a cinque anni e da tre 4/16

5 a otto anni. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d ufficio. Si tratta di un reato comune ovvero commettibile da chiunque. La norma prevede in via alternativa due condotte: a) l introdursi abusivamente in un sistema informatico o telematico protetto da misure di sicurezza, b) il mantenersi nel medesimo sistema contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Nella prima ipotesi il legislatore ha inteso punire l azione consistente nell introdursi ed accedere abusivamente alla memoria di un elaboratore per prendere cognizione di dati, informazioni,programmi ovvero per alterarli, modificarli o cancellarli. Tale accesso deve verificarsi in presenza di misure di sicurezza, cioè misure informatiche e procedurali volte ad escludere o impedire la cognizione delle informazioni a soggetti non autorizzati. Tra queste misure rientrano le password, dispositivi biometrici, firewalll. L accesso deve essere abusivo ovvero compiuto senza il preventivo consenso da parte di chi è autorizzato ad introdursi nel sistema. La seconda ipotesi si riferisce invece al mantenimento nel sistema informatico nonostante il titolare abbia espresso in maniera espressa o tacita la volontà di esclusione. L oggetto giuridico tutelato dalla norma è il domicilio informatico concetto assimilabile alla tradizionale definizione di domicilio in quanto nell attualità i sistemi informatici e telematici costituiscono soprattutto luoghi ove l uomo moderno esplica alcune delle sue facoltà intellettuali ed esprime la propria personalità, con facoltà di escludere terzi non graditi. Tale fattispecie potrebbe verificarsi in capo all Ente: es. un dipendente che, pur possedendo le credenziali di accesso al sistema, acceda a parti di esso a lui vietate senza preventiva autorizzazione da parte dei vertici, per modificare alcuni dati ivi contenuti a vantaggio dell Ente. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater cod. penale) Chiunque, al fine di procurare a sè o ad altri un profitto o di arrecare ad altri un danno,abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a euro La pena è della reclusione da uno a due anni e della multa da euro a euro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'art. 617quater. Trattasi di reato cosiddetto di pericolo in quanto volto ad anticipare la tutela rispetto all evento dannoso punendo chiunque riesca ad impossessarsi o diffonda codici di accesso riservati ( password, PIN, ) necessari per accedere ad un sistema informatico o 5/16

6 telematico. Come precisato dalla Corte di Cassazione ( cfr sent del 17 dicembre 2004) in questa figura di reato rientra la clonazione di cellulari. Tale fattispecie potrebbe astrattamente verificarsi in capo all Ente: es. un dipendente clona il numero di cellulare di un insegnante e lo consegna ad un ispettore dell ASL ( invaghito dell insegnante) che in cambio assicura di preallertare l Istituto in caso di verifica ispettiva da parte dell azienda sanitaria locale. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater cod. penale) Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela,mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa. Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso: 1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema; 3) da chi esercita anche abusivamente la professione di investigatore privato. La condotta punita consiste nell intercettare fraudolentemente comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, o nell impedimento o interruzione delle stesse. Integra la medesima fattispecie anche la diffusione al pubblico delle predette comunicazioni attraverso qualsiasi mezzo di informazione. Premesso che i presidi di sicurezza adottati dall Ente paioni idonei a contrastare la commissione delle condotte descritte, tuttavia a scopo esemplificativo si indica che tale fattispecie potrebbe astrattamente verificarsi in capo all Ente qualora un dipendente fraudolentemente accedesse a dati sensibili relativi ad un insegnante (es. patologia medica ) e diffondesse questi dati su facebook per conto dell ex marito della vittima, assessore all edilizia, in cambio del rapido rilascio di una concessione edilizia. Installazione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies cod. penale) Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad 6/16

7 intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'art.617- quater. Tale fattispecie potrebbe astrattamente verificarsi in capo all Ente ad es. nel caso in cui l installazione dell apparecchiatura fosse condotta propedeutica alla commissione del reato precedentemente trattato. Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis cod. penale) Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui, è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se ricorre una o più delle circostanze di cui al numero 1 del secondo comma dell articolo 635, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno quattro anni e si procede d ufficio. Tale fattispecie potrebbe astrattamente verificarsi in capo all Ente : es. un dipendente altera i dati richiesti da un azienda (es. per servizi sulla sicurezza) per redigere un preventivo di spesa, così da consentire un risparmio economico all Ente. Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro Ente Pubblico o comunque di pubblica utilità (art. 635-ter cod.penale) Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l alterazione, o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell art. 635 ovvero se il fatto è commesso con abuso della qualità di operatore di sistema, la pena è aumentata. Deve trattarsi di condotte dirette a colpire informazioni, dati o programmi informatici utilizzati dallo Stato o da altro Ente pubblico o ad essi pertinenti, o comunque di pubblica utilità. Tale fattispecie potrebbe verificarsi in capo all Ente ad es. nel caso in cui un dipendente per agevolare economicamente l ente ( all oscuro di tale disegno criminoso) elimina o alteri dati ed informazioni di altri dipendenti da inviare in via telematica all INPS. Reati commessi attraverso l uso di un sistema informatico 7/16

8 Falsità nei documenti informatici (art. 491-bis cod. penale). Se alcune delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato, avente efficacia probatoria, si applicano le disposizioni del Capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. La norma sopra citata conferisce valenza penale alla commissione di reati di falso attraverso l utilizzo di documenti informatici disponendo che alle falsità commesse in documenti informatici pubblici o privati aventi efficacia probatoria si applichi la medesima disciplina penale prevista per le falsità commesse con riguardo ai tradizionali documenti cartacei, previste e punite dagli art. 476 a 493 c.p. ( riportate in calce al presente paragrafo). In particolare si ricordano i reati di falsità materiale o ideologica commessa da pubblico ufficiale o da privato, falsità in registri e notificazioni, falsità in scrittura privata, falsità ideologica in certificati commessa da persone esercenti servizi di pubblica utilità, uso di atto falso. Al fine di meglio comprendere i reati di falsità si precisa che: ricorre falsità materiale quando vi sia divergenza tra l autore apparente e l autore reale del documento o quando questo sia stato alterato anche da parte del suo autore originario successivamente alla sua formazione; falsità ideologica quando il documento contenga dichiarazioni non vere o non fedelmente riportate. Ricorre il reato di uso di falso quando colui che pur non ha concorso nella commissione della falsità fa uso dell atto falso essendo consapevole della sua falsità. Tale fattispecie potrebbe in astratto verificarsi in capo all ente: es. mediante la formazione di un falso materiale consistente nell utilizzo di firma elettronica altrui. Falsità materiale commessa dal pubblico ufficiale in atti pubblici (art. 476 c.p.): Il pubblico ufficiale, che, nell'esercizio delle sue funzioni, forma, in tutto o in parte, un atto falso o altera un atto vero, è punito con la reclusione da uno a sei anni. Se la falsità concerne un atto o parte di un atto, che faccia fede fino a querela di falso, la reclusione è da tre a dieci anni ; Tale fattispecie potrebbe difficilmente verificarsi in capo all Ente in quanto è altamente probabile che l autore materiale del reato agisca per trarre un vantaggio esclusivamente personale. Tuttavia a titolo esemplificativo si riporta il seguente esempio: es. un insegnante nell esercizio delle sue funzioni ( quindi pubblico ufficiale) altera la pagella di un alunno su pressione del padre di questi ( cancelliere del Tribunale) che in cambio fa sparire gli atti di un processo in cui è coinvolto l Ente. Falsità materiale commessa dal pubblico ufficiale in certificati o autorizzazioni amministrative (art. 477 c.p.): Il pubblico ufficiale, che, nell'esercizio delle sue funzioni, contraffà o altera certificati o autorizzazioni amministrative, ovvero,mediante contraffazione o alterazione, fa apparire adempiute le condizioni richieste per la loro validità, è punito con la reclusione da sei mesi a tre anni ; 8/16

9 Tale fattispecie potrebbe solo astrattamente verificarsi in capo all Ente in quanto è altamente probabile che l autore materiale del reato agisca per trarre un vantaggio esclusivamente personale. Tuttavia a titolo esemplificativo si riporta il seguente esempio: es. il preside nel rilasciare un nulla osta per il trasferimento di un alunno sottoscrive al posto della madre contraffacendo la firma della stessa in cambio della promessa del padre (un artigiano) di avere la tinteggiatura gratuita dell edificio scolastico. Falsità materiale commessa dal pubblico ufficiale in copie autentiche di atti pubblici o privati e in attestati del contenuto di atti (art. 478 c.p.): Il pubblico ufficiale, che, nell'esercizio delle sue funzioni, supponendo esistente un atto pubblico o privato, ne simula una copia e la rilascia in forma legale, ovvero rilascia una copia di un atto pubblico o privato diversa dall'originale, è punito con la reclusione da uno a quattro anni. Se la falsità concerne un atto o parte di un atto, che faccia fede fino a querela di falso, la reclusione è da tre a otto anni. Se la falsità è commessa dal pubblico ufficiale in un attestato sul contenuto di atti, pubblici o privati, la pena è della reclusione da uno a tre anni ; Tale fattispecie potrebbe astrattamente verificarsi in capo all Ente in quanto è altamente probabile che l autore materiale del reato agisca per trarre un vantaggio esclusivamente personale. Tuttavia a titolo esemplificativo si riporta il seguente esempio: a seguito di una richiesta di accesso agli atti, il Preside rilascia una copia infedele della prova d esame sostenuta da un candidato in cambio di un utilità per l Ente. Falsità ideologica commessa dal pubblico ufficiale in atti pubblici (art. 479 c.p.): Il pubblico ufficiale, che, ricevendo o formando un atto nell'esercizio delle sue funzioni, attesta falsamente che un fatto è stato da lui compiuto o è avvenuto alla sua presenza, o attesta come da lui ricevute dichiarazioni a lui non rese, ovvero omette o altera dichiarazioni da lui ricevute, o comunque attesta falsamente fatti dei quali l'atto è destinato a provare la verità, soggiace alle pene stabilite nell'articolo 476 ; Tale fattispecie potrebbe astrattamente verificarsi in capo all Ente in quanto è altamente probabile che l autore materiale del reato agisca per trarre un vantaggio esclusivamente personale. Tuttavia a titolo esemplificativo si riporta il seguente esempio: volutamente un insegnante non compila il registro di classe omettendo di indicare un assenza di un alunno su richiesta del genitore separato (affidatario del minore ) che in cambio promette una generosa elargizione di denaro per l acquisto di computers a favore della scuola. Falsità ideologica commessa dal pubblico ufficiale in certificati o autorizzazioni amministrative (art. 480 c.p.): Il pubblico ufficiale, che, nell'esercizio delle sue funzioni, attesta falsamente, in certificati o autorizzazioni amministrative, fatti dei quali l'atto è destinato a provare la verità, è punito con la reclusione da tre mesi a due anni ; 9/16

10 Tale fattispecie potrebbe astrattamente verificarsi in capo all Ente in quanto è altamente probabile che l autore materiale del reato agisca per trarre un vantaggio esclusivamente personale. Tuttavia a titolo esemplificativo si riporta il seguente esempio: es. nel caso in cui un insegnante che volontariamente firma un uscita anticipata non veritiera su richiesta di un genitore di un alunno minore che promette utilità per la scuola. Falsità ideologica in certificati commessa da persone esercenti un servizio di pubblica necessità (art. 481 c.p.): Chiunque, nell'esercizio di una professione sanitaria o forense, o di un altro servizio di pubblica necessità, attesta falsamente, in un certificato, fatti dei quali l'atto è destinato a provare la verità, è punito con la reclusione fino a un anno o con la multa da 51,00 a 516,00. Tali pene si applicano congiuntamente se il fatto è commesso a scopo di lucro ; Tale fattispecie potrebbe in astratto verificarsi in capo all Ente ad es. nel caso in cui il dipendente, responsabile per la sicurezza, attesti falsamente per iscritto di aver partecipato a corsi di formazione e informazione in materia di sicurezza così avvantaggiando l Ente che ha risparmiato i costi di formazione ed aggiornamento della persona. Falsità materiale commessa da privato (art. 482 c.p.): Se alcuno dei fatti preveduti dagli articoli 476, 477 e 478 è commesso da un privato, ovvero da un pubblico ufficiale fuori dell'esercizio delle sue funzioni, si applicano rispettivamente le pene stabilite nei detti articoli, ridotte di un terzo ; Falsità ideologica commessa dal privato in atto pubblico (art. 483 c.p.): Chiunque attesta falsamente al pubblico ufficiale, in un atto pubblico, fatti dei quali l'atto è destinato a provare la verità, è punito con la reclusione fino a due anni. Se si tratta di false attestazioni in atti dello stato civile, la reclusione non può essere inferiore a tre mesi ; Tale fattispecie potrebbe verificarsi in capo all Ente : es. un dipendente al quale è occorso un infortunio sul lavoro, attesta falsamente al medico del pronto soccorso di essersi lesionato a causa di un incidente domestico. Falsità in scrittura privata (art. 485 c.p.): Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, forma, in tutto o in parte, una scrittura privata falsa, o altera una scrittura privata vera, è punito, qualora ne faccia uso o lasci che altri ne faccia uso, con la reclusione da sei mesi a tre anni. Si considerano alterazioni anche le aggiunte falsamente apposte a una scrittura vera, dopo che questa fu definitivamente formata ; Tale fattispecie potrebbe verificarsi in capo all Ente : es. nel caso in cui un impiegato amministrativo dell Ente indichi dei dati inveritieri nella documentazione da inviare via mail al Comune per ottenere una concessione edilizia. 10/16

11 Falsità in foglio firmato in bianco. Atto privato (art. 486 c.p.): Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, abusando di un foglio firmato in bianco, del quale abbia il possesso per un titolo che importi l'obbligo o la facoltà di riempirlo, vi scrive o fa scrivere un atto privato produttivo di effetti giuridici, diverso da quello a cui era obbligato o autorizzato, è punito, se del foglio faccia uso o lasci che altri ne faccia uso, con la reclusione da sei mesi a tre anni. Si considera firmato in bianco il foglio in cui il sottoscrittore abbia lasciato bianco un qualsiasi spazio destinato a essere riempito ; Tale fattispecie potrebbe verificarsi in capo all Ente: ad es. nel caso in cui il Preside firma in bianco il foglio di incarico al fotografo amatoriale per le riprese video/audio di minori in occasione della recita di Natale e lo consegna ad un dipendente, delegato a compilarlo con i dati del fotografo e con le prescrizioni previste da protocollo a tutela dei minori ( es. eliminare i files una volta consegnati all Ente). Il delegato omette tutte le prescrizioni previste dal protocollo su accordo con il fotografo che in cambio promette la gratuità della prestazione e della stampa delle foto. Falsità in foglio firmato in bianco. Atto pubblico (art. 487 c.p.): Il pubblico ufficiale, che, abusando di un foglio firmato in bianco, del quale abbia il possesso per ragione del suo ufficio e per un titolo che importa l'obbligo o la facoltà di riempirlo, vi scrive o vi fa scrivere un atto pubblico diverso da quello a cui era obbligato o autorizzato, soggiace alle pene rispettivamente stabilite negli articoli 479 e 480 ; Altre falsità in foglio firmato in bianco. Applicabilità delle disposizioni sulle falsità materiali (art. 488 c.p.): Ai casi di falsità su un foglio firmato in bianco diversi da quelli preveduti dai due articoli precedenti, si applicano le disposizioni sulle falsità materiali in atti pubblici o in scritture private ; Uso di atto falso (art. 489 c.p.): Chiunque senza essere concorso nella falsità, fa uso di un atto falso soggiace alle pene stabilite negli articoli precedenti, ridotte di un terzo. Qualora si tratti di scritture private, chi commette il fatto è punibile soltanto se ha agito al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno ; Soppressione, distruzione e occultamento di atti veri (art. 490 c.p.): Chiunque,in tutto o in parte, distrugge, sopprime od occulta un atto pubblico o una scrittura privata veri soggiace rispettivamente alle pene stabilite negli articoli 476, 477, 482 e 485, secondo le distinzioni in essi contenute. Si applica la disposizione del capoverso dell'articolo precedente ; 11/16

12 Copie autentiche che tengono luogo degli originali mancanti (art. 492 c.p.): Agli effetti delle disposizioni precedenti, nella denominazione di atti pubblici e di scritture private sono compresi gli atti originali e le copie autentiche di essi, quando a norma di legge tengano luogo degli originali mancanti ; Falsità commesse da pubblici impiegati incaricati di un pubblico servizio (art. 493 c.p.): Le disposizioni degli articoli precedenti sulle falsità commesse da pubblici ufficiali si applicano altresì agli impiegati dello Stato, o di un altro ente pubblico, incaricati di un pubblico servizio relativamente agli atti che essi redigono nell'esercizio delle loro attribuzioni. Per quanto riguarda le fattispecie introdotte con art. 9 dlgs 93 del 14/08/2013 ( delitti sulla privacy, la frode informatica con sostituzione dell identità digitale e l indebito utilizzo e falsificazione di carte di credito) la Corte di Cassazione con la recente relazione III/01/2013 del 22/08/2013 ha fornito una prima interpretazione rilevando che i delitti in materia di violazione della privacy previsti dal dlgs 196/2003 e cioè le fattispecie di trattamento illecito dei dati (art.167) di falsità nelle dichiarazioni notificazioni al Garante (art. 168) e di inosservanza dei provvedimenti del Garante (art. 170). Risultano di grande impatto, soprattutto per la configurazione della responsabilità da reato degli enti per l illecito trattamento dei dati, violazione potenzialmente in grado di interessare l intera platea degli enti soggetti alle disposizioni del Dlgs 231/01. In relazione ad essi, l ente rischia una sanzione da 100 a 500 quote (ciascuna quota può variare da un minimo di 258 fino a un massimo di euro). Si applicano, inoltre, le sanzioni interdittive: dell interdizione dall esercizio dell attività; della sospensione o revoca di autorizzazione, licenze o concessioni funzionali alla commissione dell illecito; del divieto di pubblicizzare beni e servizi Essendo di recente introduzione non vi sono indicazioni pratiche su come prevenire la commissione di tali reati, si ritiene tuttavia utile adottare il Documento Programmatico per la Sicurezza ( già adottato dall Ente) e nominare un Privacy Officer ovvero un referente privacy per consentire l esercizio del controllo e delle verifiche interne in nome e per conto del Titolare dei dati nei confronti dei dipendenti. *** Principi di riferimento generali Con specifico riguardo alle problematiche connesse al rischio informatico/telematico, l Ente consapevole dei continui cambiamenti delle tecnologie e dei pericoli che possono derivare dall (ab)uso di tali strumenti si è posto come obiettivo l adozione di efficaci politiche di sicurezza informatica; in particolare, tale sicurezza viene perseguita attraverso la protezione dei sistemi e delle informazioni dai potenziali attacchi attraverso la diffusione di una cultura attenta agli aspetti della sicurezza e l utilizzo di strumenti atti prevenire e a reagire a fronte delle diverse tipologie di attacchi. Sulla base di tali principi generali, la presente parte speciale codifica i seguenti divieti. 12/16

13 È severamente proibito: a) alterare documenti informatici, pubblici o privati, aventi efficacia probatoria; b) accedere abusivamente al sistema informatico o telematico di soggetti pubblici o privati; c) accedere abusivamente al proprio sistema informatico o telematico al fine di alterare e/o cancellare dati e/o informazioni; d) detenere e utilizzare abusivamente codici, parole chiave o altri mezzi idonei all'accesso a un sistema informatico o telematico di soggetti concorrenti, pubblici o privati, al fine di acquisire informazioni riservate; e) detenere e utilizzare abusivamente codici, parole chiave o altri mezzi idonei all'accesso al proprio sistema informatico o telematico al fine di acquisire informazioni riservate; f) svolgere attività di approvvigionamento e/o produzione e/o diffusione di apparecchiature e/o software allo scopo di danneggiare un sistema informatico o telematico, di soggetti, pubblici o privati, le informazioni, i dati o i programmi in esso contenuti, ovvero di favorire l interruzione, totale o parziale, o l alterazione del suo funzionamento; g) svolgere attività fraudolenta di intercettazione, impedimento o interruzione di comunicazioni relative a un sistema informatico o telematico di soggetti, pubblici o privati, al fine di acquisire informazioni riservate; h) istallare apparecchiature per l intercettazione, impedimento o interruzione di comunicazioni di soggetti pubblici o privati; i) svolgere attività di modifica e/o cancellazione di dati, informazioni o programmi di soggetti privati o soggetti pubblici o comunque di pubblica utilità; j) svolgere attività di danneggiamento di informazioni, dati e programmi informatici o telematici altrui; k) distruggere, danneggiare, rendere inservibili sistemi informatici o telematici di pubblica utilità. E fatto obbligo di: 1. utilizzare le informazioni, le applicazioni e le apparecchiature esclusivamente per motivi legati al proprio ruolo; 2. non prestare o cedere a terzi apparecchiatura informatica, se non previa autorizzazione del Responsabile dei Sistemi Informativi; 3. evitare di trasferire all esterno dell Ente e/o trasmettere files, documenti, o qualsiasi altra documentazione riservata di proprietà dell Ente stesso, se non per finalità strettamente attinenti allo svolgimento delle proprie mansioni e, comunque, previa autorizzazione del proprio Responsabile; 4. evitare di lasciare incustodito e/o accessibile ad altri il proprio PC oppure consentire l utilizzo dello stesso ad altre persone (famigliari, amici, etc ); 13/16

14 5. evitare l utilizzo di passwords di altri utenti aziendali, neppure per l accesso ad aree protette in nome e per conto dello stesso, salvo espressa autorizzazione del Responsabile dei Sistemi Informativi; 6. utilizzare la connessione a Internet per gli scopi e il tempo strettamente necessario allo svolgimento delle attività che hanno reso necessario il collegamento; 7. rispettare le procedure e gli standard previsti, segnalando senza ritardo alle funzioni competenti eventuali utilizzi e/o funzionamenti anomali delle risorse informatiche; 8. astenersi dall'effettuare copie non specificamente autorizzate di dati e di software; 9. astenersi dall utilizzare gli strumenti informatici a disposizione al di fuori delle prescritte autorizzazioni; 10. osservare scrupolosamente quanto previsto dalle politiche di sicurezza aziendali per la protezione e il controllo dei sistemi informatici. Le disposizioni del presente regolamento costituiscono specificazioni esemplificative degli obblighi generali di diligenza e fedeltà, il cui adempimento è richiesto dalla legge ai prestatori di lavoro ( artt c.c.) e a quelli di correttezza e buona fede richiesti ai collaboratori a qualsiasi titolo ( artt e 1375 c.c.) L Ente non ammette violazioni delle previsioni contenute nel presente regolamento. Ogni violazione da parte dei dipendenti costituisce infrazione disciplinare e comporta le conseguenze sanzionatorie di cui all art. 7 legge 300/70 ( rimprovero verbale o scritto, multa, sospensione dal servizio e dalla retribuzione, licenziamento), agli artt e 2106 c.c., al Dlgs 231/01 ed alla normativa collettiva e regolamentare applicata. Ogni violazione da parte di collaboratori, fornitori, consulenti è fonte di responsabilità contrattuale e come tale è sanzionata in base ai principi generali del diritto e alle norme che regolano i relativi rapporti contrattuali. PROTOCOLLI In linea generale si ricorda che tutte le procedure interne costituite e costituende devono essere caratterizzate dai seguenti elementi : 1. conoscibilità all interno dell Ente 2. chiara e formale delimitazione dei ruoli con descrizione precisa dei compiti di ciascuna funzione e dei relativi poteri/limiti 3. traccia scritta di ciascun passaggio rilevante del processo 4. chiara descrizione delle modalità di riporto. Nell eseguire le singole fattispecie di attività sensibili sopra riportate, dovranno essere sempre osservati i principi e le regole di comportamento di cui al Codice Etico e di Condotta. Gestione della password 14/16

15 A salvaguardia dei dati e delle informazioni custoditi all interno della rete dell Ente è assolutamente necessario che tutte le postazioni siano protette da password al fine di impedire accessi non autorizzati. Devono, quindi, essere rispettate le seguenti procedure: 1. tutte le passwords utilizzate devono essere costituite da almeno 8 caratteri ( o la lunghezza massima consentita dal sistema) 2. l utente si farà parte diligente per comporre una password difficilmente ricostruibile ( es. no il proprio nome o quello di familiari) 3. la password non deve essere rivelata; se per ragioni di assoluta necessità ciò dovesse accadere la password va immediatamente cambiata; 4. la password non deve essere scritta (es. agende post-it,..) o conservata ( es. archiviata in un file ) in ufficio; 5. gli utenti devono consegnare al Responsabile dei Sistemi Infomatici, in busta chiusa, la propria password per l utilizzo in caso di emergenze; 6. alla scadenza della password il sistema non prevede la possibilità di riutilizzo della password precedente; 7. gli utenti sono obbligati alla modifica della password alle scadenze previste, gestite automaticamente dal sistema ( scadenza ogni 120 giorni) Gestione della postazione di lavoro 1. l accesso alla postazione di lavoro deve avvenire utilizzando la propria password personale definita secondo quanto previsto dalla procedura password sopra descritta; 2. gli utenti non devono lasciare incustodite le postazioni di lavoro con la sessione di lavoro aperta ; 3. gli utenti non devono abbandonare incustoditi cd-rom, supporti di backup e/o tutto ciò che sia facilmente copiabile, asportabile ed occultabile; 4. gli utenti non devono lasciare visualizzate sulle postazioni di lavoro videate contenenti dati altamente riservati; 5. l accesso ad ogni ufficio, stanza PC e area lavorativa contenente dati sensibili deve essere fisicamente limitato in modo appropriato( serrature a chiave metallica..) Gestione antivirus Ogni singolo PC dell Ente è protetto con un programma antivirus ed ogni singolo PC provvede automaticamente all aggiornamento delle definizioni dei virus con frequenza quotidiana e automatica Gestione posta elettronica ed accesso ad Internet Gli utenti non devono scaricare su disco allegati di posta elettronica di cui non si conosca con certezza il mittente o sulla sicurezza dei quali si nutrono dubbi( es. messaggi in lingua inglese da mittenti sconosciuti, messaggi contenenti appelli di cui si raccomanda la massima diffusione ) 15/16

16 16/16