IL D.L. 93/2013: L IMPATTO IN AMBITO DI RESPONSABILITA AMMINISTRATIVA DELLE PERSONE GIURIDICHE. (Avv. Andrea Milani)

Transcript

1 IL D.L. 93/2013: L IMPATTO IN AMBITO DI RESPONSABILITA AMMINISTRATIVA DELLE PERSONE GIURIDICHE (Avv. Andrea Milani) Il nostro prolifico legislatore, sempre particolarmente attivo in materia di dlgs. 231/01 nel mese di agosto, ha ritenuto di non smentirsi nemmeno nell anno 2013, emanando il Decreto Legge n 93 del 14 agosto 2013 (pubblicato in G.U. n 191 il ed entrato in vigore il ). Tale novella, all art. 9 comma II, statuisce che All'articolo 24-bis, comma 1, del decreto legislativo 8 giugno 2001, n. 231, le parole "e 635-quinquies" sono sostituite dalle seguenti: ", 635-quinquies e 640-ter, terzo comma," e dopo le parole: "codice penale" sono aggiunte le seguenti: "nonche' dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196." riformulando l art. 24-bis DLGS. 231/01 nel modo che segue: Art. 24-bis, D.Lgs. 231/ Delitti informatici e trattamento illecito di dati - 1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617- quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640- ter, terzo comma del codice penale nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196, si applica all'ente la sanzione pecuniaria da cento a cinquecento quote. 2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all'ente la sanzione pecuniaria sino a trecento quote.

2 3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall'articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all'ente la sanzione pecuniaria sino a quattrocento quote. 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere c), d) ed e). *** Ovvie le conseguenze in materia di dlgs. 231/01: la norma menzionata introduce infatti tra i reati cosiddetti sensibili ex dlgs. 231/01 le seguenti nuove fattispecie: Art. 640-ter, terzo comma, c.p. (Frode informatica) (1) (2). 1. Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. 3. La pena è della reclusione da due a sei anni e della multa da euro 600 a euro se il fatto è commesso con sostituzione dell'identità digitale in danno di uno o più soggetti (3). 4. Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o un'altra circostanza aggravante (4) (1) Articolo aggiunto dall'art. 10, L. 23 dicembre 1993, n. 547, che modifica ed integra le norme del codice penale o del codice di procedura penale in tema di criminalità informatica. (2) Per l'aumento della pena per i delitti non colposi di cui al presente titolo commessi in danno di persona portatrice di minorazione fisica, psichica o sensoriale, vedi l art. 36, comma 1, L. 2

3 5 febbraio 1992, n. 104, come sostituito dal comma 1 dell art. 3, L. 15 luglio 2009, n. 94. (3) Comma inserito dalla lett. a) del comma 1 dell art. 9, D.L. 14 agosto 2013, n. 93. (4) Comma così modificato dalla lett. b) del comma 1 dell art. 9, D.L. 14 agosto 2013, n. 93. Art. 55, comma 9 (Sanzioni penali) D.lgs. 21 novembre 2007, n. 231 Chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni e con la multa da 310 a euro. Alla stessa pena soggiace chi, al fine di trarne profitto per sé o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi. Art. 167 (Trattamento illecito di dati) D.lgs. 30 giugno 2003, n Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. Art. 168 (Falsità nelle dichiarazioni e notificazioni al Garante) D.lgs. 30 giugno 2003, n Chiunque, nelle comunicazioni di cui all'articolo 32-bis, commi 1 e 8, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta 3

4 falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. (1) (1) Comma così modificato dall'art. 1, comma 11, D.Lgs. 28 maggio 2012, n. 69, a decorrere dal 1 giugno 2012, ai sensi di quanto disposto dall'art. 3, comma 1, del medesimo D.Lgs. 69/2012. FATTISPECIE CONTRAVVENZIONALE [Art. 169 (Misure di sicurezza) D.lgs. 30 giugno 2003, n Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni. (1) 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. (2) (1) Comma così modificato dall'art. 44, comma 9, lett. a), D.L. 30 dicembre 2008, n. 207, convertito, con modificazioni, dalla L. 27 febbraio 2009, n. 14. (2) Comma così modificato dall'art. 44, comma 9, lett. b), D.L. 30 dicembre 2008, n. 207, convertito, con modificazioni, dalla L. 27 febbraio 2009, n. 14.] Art. 170 (Inosservanza di provvedimenti del Garante) D.lgs. 30 giugno 2003, n Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni. FATTISPECIE CONTRAVVENZIONALE [Art. 171 (Altre fattispecie) D.lgs. 30 giugno 2003, n La violazione delle disposizioni di cui agli articoli 113, comma 1, e 114 è punita con le sanzioni di cui all'articolo 38 della legge 20 maggio 1970, n. 300.] *** 4

5 L intervento legislativo, per l ennesima volta disorganico, è a maggior ragione censurabile attesa la palese contraddittorietà rispetto alla recente politica in materia di trattamento dei dati personali, che si era mossa in occasione del c.d. decreto semplificazioni (d.l. 5/2012) verso un sostanziale alleggerimento della stessa normativa. L intervento in materia di dlgs. 231/01, in vece, aumenta il novero dei soggetti potenzialmente responsabili, coinvolgendo direttamente la persona giuridica nel caso di commissione dei reati soprammenzionati e comunque costringendola ad intervenire nell implementazione del proprio MOG231 a dire che laddove il c.d. decreto semplificazioni era volto a semplificare, quello oggetto della novella in analisi ha nuovamente aggravato gli incombenti per le aziende nelle stesse materie. Giova rilevare come le nuove fattispecie spazino dalla nuova ipotesi di frode informatica di cui all art. 640ter c.p., all ipotesi di indebito utilizzo di strumenti di moneta elettronica (già inopinatamente inserita nel T.U. Antiriciclaggio), a tutte le fattispecie di cui alla Parte III, Titolo III, Capo II della c.d. Legge Privacy, limitatamente ai delitti ivi considerati (rimangono pertanto escluse le ipotesi di cui agli artt. 169 e 171 dlgs. 196/03, aventi natura contravvenzionale: dette fattispecie, sopra comunque riportate, pur non comportando responsabilità dell ente ai sensi del dlgs. 231/01, potranno essere tenute in debito conto e valutate ai fini della stesura dei protocolli di prevenzione, quali soglie di tutela anticipata rispetto alla commissione dei più gravi delitti previsti, con particolare riferimento all art. 169). Sul punto, è intervenuta altresì la Relazione n III/01/2013 del della Corte di Cassazione. Tale relazione, che (opportunamente) si diffonde con ampiezza nel trattare delle altre novità del DL 93/2013 (concernenti le modifiche al codice penale e di procedura penale in riferimento ai reati di maltrattamenti contro familiari e conviventi, violenza sessuale ed atti persecutori), è invero molto laconica ed ovvia nel trattare dell impatto in ambito di dlgs. 231/01, così chiosando: se i primi due aggiornamenti dei cataloghi [ovvero quello relativo al reato di frode informatica aggravato dalla sostituzione dell identità digitale di cui all art. 640ter, comma III, e quello relativo ai reati di indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento di cui all art. 55 comma 9 del d. lgs. n. 231/2007] non paiono destinati ad assumere 5

6 particolare rilevanza in sede applicativa, il terzo [concernente i delitti in materia di violazione della privacy previsti dal d. lgs. n. 196/2003 e cioè le fattispecie di trattamento illecito dei dati (art. 167), di falsità nelle dichiarazioni notificazioni al Garante (art. 168) e di inosservanza dei provvedimenti del Garante (art. 170)] risulta invece di grande impatto, soprattutto per la configurazione della responsabilità da reato degli enti per l illecito trattamento dei dati, violazione potenzialmente in grado di interessare l intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del d.lgs. n. 231/2001. La nota è certamente tanto condivisibile quanto poco utile nel comprendere la ratio dell intervento legislativo. Certo è che l operatore in ambito 231 non può e non deve rimanere indifferente. Non deve infatti passare inosservato come l ampliamento del catalogo dei reati sensibili sia già norma vigente: la giurisprudenza ha già avuto agio di esprimersi sul tema della esigibilità dell immediato adeguamento del modello di organizzazione ex dlgs. 231/01 alle novelle legislative di ampliamento dei reati presupposto, in occasione della sentenza pronunciata dal GUP presso il Tribunale di Novara in data , riferita al noto caso dell investimento ferroviario; in tale occasione, venne sentenziato come il breve arco temporale pari a circa due mesi, intercorso tra l entrata in vigore della normativa contestata e la commissione del fatto reato, non comporta in sé l inesigibilità della condotta. [ ] La mancanza di una disciplina transitoria, ovvero di un termine a cui ancorare la decorrenza degli effetti della nuova disciplina sanzionatoria, comporta che era obbligo immediato per le società, adottare ed attuare i modelli di organizzazione e gestione idonei a prevenire incidenti sul lavoro del tipo di quello poi verificatosi. Pertanto, occorrerà anzitutto provvedere all inserimento delle nuove ipotesi di reato all interno del catalogo del MOG, alla valutazione dei rischi specifici di commissione delle stesse, all individuazione delle relative aree di rischio e all introduzione di procedure di prevenzione e controllo idonee ad impedire la commissione di detti reati. Va da sé che le fattispecie neo introdotte si collocano in area attigua a quella delle fattispecie già previste all art. 24 bis dlgs. 231/01 in ambito di criminalità informatica: pertanto quantomeno in prima battuta una implementazione delle procedure di gestione dei sistemi informatici potrebbe soddisfare la finalità preventiva richiesta dalla novella 6

7 legislativa in esame; ma ciò certamente non basta con particolare riferimento alle fattispecie riferibili al trattamento dei dati. Sul punto, fondamentale diviene: 1) il ripristino di quelli che erano gli strumenti di primo livello previsti (e poi deflazionati dal c.d. decreto semplificazioni) per il corretto trattamento dei dati (e quindi sostanzialmente il DPS ex dlgs. 196/2003 e accessori); 2) l introduzione da parte del MOG231 di attività di monitoraggio di secondo livello sugli strumenti di cui al punto che precede; 3) l idonea formazione del personale sui reati neo introdotti; 4) la previsione di flussi informativi obbligatori verso l OdV nelle materie specifiche oggetto della riforma; 5) l estensione dell attività di controllo da parte dell OdV. *** Nell attesa poi di comprendere se la novella avrà un impatto giurisprudenziale effettivo o se come per molte altre fattispecie previste nel catalogo 231 languirà quale ennesimo emblema della velleità legislativa. Torino, lì