INFORMATION RISK MANAGEMENT D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati Convegno AIEA Roma, 3 marzo 2010 ADVISORY
Agenda Introduzione Il D.Lgs. 231/2001 I reati informatici Modelli e strumenti di controllo Approccio metodologico e best practice Privacy e D.Lgs.231 1
Introduzione L evoluzione della normativa societaria In generale, la produzione normativa degli ultimi anni, e quindi anche il D.Lgs. 231/01, ha posto particolare enfasi sull adeguatezza del sistema di controllo interno aziendale e quindi sulla capacità da parte degli organi societari di definire adeguati sistemi di controllo che garantiscano il rispetto delle politiche e procedure aziendali da un lato e dall altro il raggiungimento degli obiettivi prefissati. 2
Introduzione La ragnatela normativa si è complicata dal 2003 ad oggi. 2002 2007 Antiriciclaggio 2005 Legge sul risparmio Riforma Diritto Societario 2003 Evoluzione Norme Tributarie 2005 2001 Sarbanes Oxley Act D.Lgs. 231/01 2006 Codici di Comportamento L. 626/94 Certificazione Qualità DAFC/CFO Privacy 2003 2004 Basilea 2 e sistema Bancario IAS IFRS 2002 2006 Borsa e Mercati Finanziari Internal Dealing 2003 1990-2003 Organi di Vigilanza Ambiente Market Abuse 2004 3
Agenda Introduzione Il D.Lgs. 231/2001 I reati informatici Modelli e strumenti di controllo Approccio metodologico e best practice Privacy e D.Lgs.231 4
Il D.Lgs. 231/2001 La responsabilità amministrativa degli enti A norma del D.Lgs. 8 giugno 2001, n. 231 (di seguito Decreto ), le società sono passibili di responsabilità amministrativa per i reati commessi a loro vantaggio o nel loro interesse da: persone che rivestono funzioni di rappresentanza, amministrazione o direzione dell ente o da chi esercita, anche di fatto, funzioni di direzione e controllo persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto precedente La responsabilità in sede penale degli enti si aggiunge a quella delle persone fisiche che li rappresentano e che materialmente hanno realizzato l illecito. 5
Il D.Lgs. 231/2001 La Responsabilità Amministrativa degli enti in sede penale, si aggiunge a quella della persona fisica che ha materialmente realizzato il fatto illecito. E da precisare che la responsabilità sorge in occasione della realizzazione di determinati tipi di reati commessi da parte di soggetti legati a vario titolo all ente e solo nelle ipotesi che la condotta illecita sia stata realizzata nell interesse o a vantaggio di esso. Reato Responsabilità Penale Il reato rientra nella tipologia prevista dalla 231 Persona Fisica Il reato è nell interesse e/o vantaggio dell ente Responsabilità Amministrativa Ente 6
Il D.Lgs. 231/2001 L esimente della responsabilità L esimente dalla responsabilità dell ente, offerta dal Decreto, si realizza se lo stesso è in grado di provare: che ha preventivamente adottato ed efficacemente attuato modelli organizzativi e di gestione idonei a individuare e prevenire reati della specie di quello verificatosi che ha affidato ad un proprio organismo (Organismo di Vigilanza) - dotato di autonomi poteri di iniziativa e di controllo - il compito di vigilare sul funzionamento e l osservanza dei modelli e di curarne il loro aggiornamento la violazione fraudolenta dei modelli da parte degli autori del reato la diligenza dell Organismo di Vigilanza e dei soggetti incaricati della gestione e del controllo. 7
Processo di Risk management Il D.Lgs. 231/2001 Il M.O.G.C. (Modello di Organizzazione Gestione e Controllo) quale esimente della responsabilità dell ente. Un modello organizzativo è un complesso di regole, strumenti e condotte finalizzato a dotare l Ente: di un efficace sistema organizzativo e di gestione (ragionevolmente) idoneo a individuare e prevenire le condotte penalmente rilevanti poste in essere dall Ente stesso o dai soggetti sottoposti alla sua direzione e/o vigilanza. Adempimenti organizzativi Linee Guida L ente deve: aver preventivamente adottato ed efficacemente attuato modelli organizzativi e di gestione idonei ad individuare e prevenire reati; aver implementato un organismo con il compito di vigilare sul funzionamento e l osservanza dei modelli e di curarne il loro aggiornamento; dimostrare la diligenza dell organismo di vigilanza e dei soggetti incaricati della gestione e del controllo. 1 Mappatura Processi a rischio 2 Elenco rischi potenziali per processo 3 Analisi del sistema di controllo preventivo 4 Valutazione dei rischi residui 5 Adeguamento sistema di controllo preventivo Codice Etico Comunicazione al personale Sistema di controllo Sistema Org.vo Procedure Manuali ed Informatiche Poteri Autorizzativi di firma 8
Il D.Lgs. 231/2001 Le misure sanzionatorie Le misure sanzionatorie previste dal Decreto sono: Sanzione pecuniaria, da 25.823 a 1.549.371 Sanzione interdittiva, della durata compresa tra 3 mesi e 2 anni: interdizione dall esercizio dell attività sospensione o revoca delle autorizzazioni, licenze o concessioni divieto di contrattare con la PA esclusione da agevolazioni, finanziamenti, contributi o sussidi e revoca di quelli concessi divieto di pubblicizzare beni o servizi Confisca del profitto ottenuto e pubblicazione della sentenza. 9
Il D.Lgs. 231/2001 Le fattispecie di reato rilevanti sono comprese nelle seguenti categorie: delitti contro la pubblica amministrazione (artt. 24 e 25 del Decreto) reati informatici (Art. 24-bis del Decreto) delitti di criminalità organizzata (Art. 24-ter del Decreto) falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento (art. 25-bis del Decreto) delitti contro l industria e il commercio (art. 25-bis 1 del Decreto) reati societari (art. 25-ter del Decreto) delitti con finalità di terrorismo ed eversione dell ordine democratico (Art. 25-quater del Decreto) delitti contro la personalità individuale (art. 25-quater 1 e art. 25-quinquies del Decreto) abusi di mercato (Art. 25-sexies del Decreto) salute e sicurezza sul lavoro (art. 25-septies del Decreto) reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (Art. 25-opties del Decreto) delitti in materia di violazione del diritto d autore (art. 25-novies del Decreto) induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria (art. 25 novies del Decreto) reati transnazionali (Art. 10 - Legge 16 Marzo 2006 n.146)*. (*) La legge 16 marzo 2006, n. 146 (pubblicata sulla Gazzetta Ufficiale n. 85 dell 11 aprile 2006) ratifica e dà esecuzione alla Convenzione ed ai Protocolli delle Nazioni Unite contro il crimine organizzato transnazionale. 10
Agenda Introduzione Il D.Lgs. 231/2001 I reati informatici Modelli e strumenti di controllo Approccio metodologico e best practice Privacy e D.Lgs.231 11
I reati informatici Per crimine informatico intendiamo ogni comportamento previsto e punito dal codice penale o da leggi speciali in cui qualsiasi strumento informatico o telematico rappresenti un elemento determinante ai fini della qualificazione del fatto di reato Si utilizza il termine reato informatico per indicare qualsiasi condotta realizzata per mezzo delle nuove tecnologie o comunque rivolta contro i beni informatici, sanzionata dall ordinamento penale. Può essere considerato reato informatico tanto la frode commessa attraverso il computer che il danneggiamento del sistema informatico Una definizione dottrinaria di crimine informatico è: crimine nel quale un sistema di elaborazione o una sua parte ricopre uno dei seguenti ruoli: oggetto (ciò include la distruzione o la manipolazione dell elaboratore, dei dati e dei programmi in esso contenuti e delle relative apparecchiature di supporto) soggetto (quando l elaboratore è il luogo, il motivo o la fonte del crimine) strumento (quando ciò che avviene in relazione all elaborazione non è di per sé illegale, ma serve a commettere crimini di altro tipo, es. sabotaggio). In pratica un sistema di elaborazione, o ciò che viene prodotto dall elaboratore, è usato come mezzo per compiere frodi, sabotaggi, falsificazioni. 12
I reati informatici L art.7, L. 18.03.2008, n.48 ( Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell ordinamento interno ) pubblicata in G.U. n. 80 del 4 aprile 2008 ha introdotto l art. 24-bis all interno del Decreto il quale: recepisce l art. 491-bis c.p. che, a sua volta, estende le ipotesi di falsità in atti di cui al Libro II, Titolo VII, Capo III c.p. a tutte le fattispecie delittuose in cui una o più delle suddette falsità abbia ad oggetto un c.d. documento informatico introduce all interno del Decreto alcune ipotesi di reato in materia di criminalità informatica, già disciplinate all interno del Codice Penale. 13
I reati informatici Art. 615-ter: Accesso abusivo ad un sistema informatico o telematico Art. 615-quarter: Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o telematici Art. 615-quinquies: Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informativo o telematico Art. 617-quarter: Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche Art. 617-quinquies: Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche Art. 635-bis: Danneggiamento di informazioni, dati e programmi informatici Art. 635-ter: Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità Art. 635-quarter: Danneggiamento di sistemi informatici o telematici Art. 635-quinquies: Danneggiamento di sistemi informatici o telematici di pubblica utilità Art. 640-quinquies: Frode informatica del soggetto che presta servizi di certificazione di firma elettronica Art. 491-bis: Falsità di documenti informatici. 14
I reati informatici Reato Condotta Ipotesi di reato ART. 615-ter Accesso abusivo ad un sistema informatico o Telematico Es. Protocolli di controllo Punisce la condotta di chi si introduce abusivamente, ossia eludendo una qualsiasi forma, anche minima, di barriere ostative all accesso, in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà di chi a diritto di escluderlo. Definizione di una Politica sulla sicurezza delle informazioni come la gestione e uso delle password, le modalità di effettuazione dei log-in e log-out, l'uso della posta elettronica, le modalità di utilizzo dei supporti rimovibili, l'uso dei sistemi di protezione (antivirus, spam, phishing, spy) Inventario aggiornato dell'hardware e del software in uso agli utenti Procedure formali per l assegnazione di privilegi speciali (ad es. amministratori di sistema, super-user) Tracciamento degli accessi degli utenti alla rete aziendale Controlli sugli accessi agli applicativi effettuati dagli utenti Tracciamento e monitoraggio degli eventi di sicurezza sulla rete. Soggetti che si introducono nel sistema informatico della Società per effettuare operazioni che portino un interesse o vantaggio per la Società (diminuzione del credito dei clienti, maggiorazione dei costi dei servizi erogati, fatturazione di servizi non richiesti). Soggetti si introducono abusivamente in sistemi informatici esterni al fine di procurare un interesse o vantaggio alla Società. Ad esempio: accesso abusivo nel sistema informatico di un concorrente al fine di conoscere l'offerta economica presentata per la partecipazione alla gara di appalto; accesso abusivo nel sistema informatico di un concorrente al fine di conoscere il portafoglio clienti. 15
Agenda Introduzione Il D.Lgs. 231/2001 I reati informatici Modelli e strumenti di controllo Approccio metodologico e best practice Privacy e D.Lgs.231 16
Modelli e strumenti di controllo In seguito all introduzione dei crimini informatici tra quelli previsti dal D.Lgs. 231/2001, gli enti dovranno adottare modelli e strumenti concreti di organizzazione, gestione, monitoraggio e controllo al fine di: garantire la protezione del patrimonio informativo assicurare il corretto utilizzo delle risorse tecnologiche disporre di evidenze che documentino l efficacia dei controlli implementati. Dovranno essere predisposte preventive ed idonee misure di sicurezza e di controllo per prevenire potenziali reati informatici mediante l ausilio di strumenti tecnologici 17
Modelli e strumenti di controllo L ente non risponde dei reati informatici compiuti attraverso l utilizzo dei propri sistemi informatici se e solo se prova: di avere adottato e attuato efficacemente modelli di gestione idonei a prevenire il reato di avere affidato ad un organismo dotato di autonomi poteri d iniziativa e di controllo, la vigilanza e l aggiornamento di tali modelli l elusione fraudolenta di tali modelli di organizzazione e gestione. 18
Modelli e strumenti di controllo Principi di controllo: Separazione dei ruoli Sistemi autorizzativi (processi, procedure e meccanismi tecnici) Sistemi di controllo degli accessi (processi, procedure e meccanismi tecnici) Tracciamento delle attività svolte sui sistemi/sulla rete Monitoraggio ed esecuzione di verifiche periodiche Documentazione dei controlli adottati e conservazione delle evidenze raccolte Gestione degli incidenti di sicurezza Formazione e sensibilizzazione del personale. 19
Modelli e strumenti di controllo Policy e procedure di sicurezza Norme Cogenti (Leggi - Decreti Legislativi Provvedimenti - Delibere) Standard e Certificazioni Procedure di Sistema Qualità Framework Procedurale Normative emesse da Funzioni Centrali Policy Linee Guida Linee Guida di Gruppo Policy Generali di Gruppo Procedure Organizzative Perché Cosa Normative emesse da BU Linee Guida Tecniche Procedure Operative Manuali e Istruzioni di Lavoro Procedure Organizzative Direzionali Come 20
Modelli e strumenti di controllo Controlli di sicurezza I controlli rappresentano uno strumento per gestire e mitigare i rischi: un controllo può consistere in una attività manuale o automatica in grado di validare le informazioni e garantire il governo del contesto operativo un controllo può essere incorporato all interno dei processi e dei sistemi IT, al fine di supportare una corretta gestione dei rischi. Quantity Manual Detective I controlli perdono di significato se non sono associati ad obiettivi specifici Automated Preventive 21
Agenda Introduzione Il D.Lgs. 231/2001 I reati informatici Modelli e strumenti di controllo Approccio metodologico e best practice Privacy e D.Lgs.231 22
Approccio metodologico e best practice Fasi Analisi preliminare Risk Self Assessment e Gap Analysis Attuazione Attività Principali Richiesta, raccolta e analisi della documentazione Analisi dell ambiente aziendale, delle attività della società e ella relativa struttura organizzativa Interviste preliminari con il management per l individuazione delle attività sensibili e delle aree di rischio Interviste con il management responsabile delle aree sensibili individuate. Control Risk Self Assessment ai fini della quantificazione dei rischi e dell identificazione dei controlli per ciascuna attività sensibile. Gap Analysis tra il sistema di controllo interno rilevato e il desiderato come confronto rispetto alle Best Practices. Aggiornamento o predisposizione di: modello procedure relative attività a rischio di reato codice etico criteri di formazione e modalità operative dell OdV attività di formazione e informazione Deliverables Mappatura preliminare delle attività sensibili Individuazione soggetti da intervistare e destinatari questionari Mappatura delle aree a rischio Gap analysis Piano di lavoro per le azioni migliorative o del sistema di controllo interno Parti speciali del Modello 23
Approccio metodologico e best practice Autovalutazione dei rischi e dei controlli Attività sensibile Rischio potenziale Controllo Rischio residuo Gestione di accessi, account e profili Gestione delle reti di telecomunicazioni Gestione dei sistemi hardware Gestione dei sistemi software Gestione degli accessi fisici ai siti ove risiedono le infrastrutture IT Gestione della documentazione in formato digitale Rischio potenziale e residuo Controllo Rischio alto Controllo carente Rischio medio Controllo medio Rischio basso Controllo buono 24
Approccio metodologico e best practice Matrice attività di controllo/reati 25
Approccio metodologico e best practice Punti di attenzione Identificazione e mappatura delle attività sensibili Modello di valutazione dei rischi: Valutazione dei rischi di sicurezza Valutazione delle attività di controllo. Modelli di controllo per i crimini informatici: Processi Policy e Procedure Controlli di sicurezza da implementare/monitorare. 26
Approccio metodologico e best practice Sicurezza delle informazioni - Una visione integrata Sicurezza Strategia Business IT Sicurezza Persone Sicurezza Processi e organizzazione Sicurezza Tecnologia La sicurezza delle informazioni è strettamente connessa a tutti gli aspetti legati: al business all infrastruttura tecnologica Inoltre rappresenta un requisito necessario a tutti i livelli di ogni organizzazione Sicurezza Infrastrutture 27
Approccio metodologico e best practice Sicurezza delle informazioni - Un modello di gestione integrata Processi Processi operativi e di supporto Organizzazione delle attività Ruoli e responsabilità Infrastrutture Protezione del perimetro aziendale e controllo degli accessi Sistemi di sicurezza Analisi dei rischi Protezione infrastrutture critiche Gestione integrata della sicurezza Tecnologia Analisi dei rischi Protezione delle informazioni Security Operations Computer/Network security Procedure e pratiche di security Gestione e controllo degli accessi Persone Formazione e sensibilizzazione Procedure per le risorse umane Report degli incidenti Fornitori Audit periodici Integrità ed etica 28
Approccio metodologico e best practice Sicurezza delle informazioni Standard di riferimento Lo standard ISO 27001 (Information security management systems Requirements) è comunemente adottato a livello internazionale per l implementazione di sistemi di gestione della sicurezza delle informazioni e la loro eventuale certificazione, e fornisce indicazioni in merito alle seguenti aree di controllo: Security Policy Organization of information security Asset management Human resources security Physical and environmental security Communications and operations management. Access Control Information systems acquisition, development and maintenance Information security incident management Business Continuity management Compliance. 29
Approccio metodologico e best practice IT Governance Elementi fondamentali Corporate Governance IS Governance Business Information Systems IT Governance Focus su: Strategie Organizzazione Processi Policy e procedure Necessari per: Controllo e gestione dei rischi Compliance alle normative Misurazione delle performance Creazione di valore 30
Approccio metodologico e best practice IT Governance standard di riferimento COBIT (Control Objectives for Information and related Technology): è un insieme di pubblicazioni che definiscono un modello di riferimento e delle best practice per l IT control e l IT Governance Sistema di Controllo IT Modello CobiT in cui gli obiettivi di controllo sono organizzati secondo diverse dimensioni: Requisiti di business Tipologie di risorse IT Processi. 31
Agenda Introduzione Il D.Lgs. 231/2001 I reati informatici Modelli e strumenti di controllo Approccio metodologico e best practice Privacy e D.Lgs.231 32
Privacy e D.Lgs.231 La normativa Privacy (D.Lgs. 196/2003) copre l intero ambito dei processi aziendali e, se implementata correttamente e mantenuta costantemente, offre strumenti utili per prevenire e provare gli illeciti di cui alla disciplina del D.Lgs. 231/2001. L applicazione delle misure di sicurezza richieste dalla normativa Privacy è fondamentale per l adeguamento al sistema 231 per poter gestire una serie di rischi (accessi non autorizzati, trattamenti illeciti, ecc.). 33
Privacy e D.Lgs.231 Decreto Legislativo 196/2003 Codice in materia di protezione dei dati personali : il tema della Privacy è correlato al corretto trattamento ed alla protezione dei dati personali relativi a persone fisiche o giuridiche la gestione di tali aspetti si realizza attraverso l individuazione degli adempimenti previsti dal Testo Unico Privacy, valutando i rischi principali e le contromisure di sicurezza necessarie. Sicurezza D.Lgs. 196/03 Adempimenti legali Gestione integrata della Privacy e della sicurezza delle informazioni Privacy Analisi dei rischi DPS Misure minime di sicurezza Rilevazione e analisi di dati e processi 34
Privacy e D.Lgs.231 I principali adempimenti Privacy Adempimenti formali Adempimenti di sicurezza Gestione delle informative e dei consensi nei confronti di: clienti, dipendenti, fornitori, eventuali ulteriori interessati di cui vengano acquisiti i dati personali Nomina degli incaricati ai trattamenti (e dei responsabili laddove definiti) Notificazione all Autorità Garante di particolari trattamenti Gestione richieste autorizzazioni generali all Autorità Garante di trattamenti di dati personali sensibili/giudiziari Riscontro all interessato Nomina dei responsabili esterni e definizione delle modalità di verifica Redazione ed aggiornamento del DPS (e sua inclusione nella relazione accompagnatoria del bilancio annuale) Adozione delle misure minime di sicurezza per i trattamenti di dati personali effettuati con strumenti elettronici (sistemi di autenticazione, di autorizzazione, antivirus, backup Adozione delle misure minime di sicurezza per i trattamenti di dati personali effettuati con supporti cartacei (procedure di controllo degli accessi, ) Realizzazione di attività formative per gli incaricati Realizzazione di attività di sicurezza a supporto della redazione del DPS (analisi dei rischi periodica (almeno annuale) sui trattamenti dei dati personali effettuati, attività di audit volte ad individuare aree di scopertura, pianificazione delle misure di sicurezza da adottare ) 35
Privacy e D.Lgs.231 Il modello di gestione della Privacy Legal Fz Businss IT/Security HR Audit Fz. di controllo Legal Fz Businss IT/Security HR Adozione delle azioni di rimedio per garantire la conformità alla normativa Identificazione delle aree di non conformità/di miglioramento degli aspetti di sicurezza Audit dell adozione degli adempimenti formali e di quelli di sicurezza Governo e gestione della compliance alla Privacy Monitoraggio della normativa nazionale ed internazionale applicabile al contesto aziendale Legal Censimento dei trattamenti dei dati personali Identificazione delle misure e delle azioni da adottare per garantire la conformità Emissione linee guida/policy/procedure ambito privacy Adozione delle misure per adeguamento ad adempimenti di sicurezza nelle attività di business Legal Fz Businss IT/Security HR Legal Fz Businss IT/Security HR Adozione delle misure per adeguamento ad adempimenti di sicurezza IT/Security Legal Audit/Fz. di controllo Analisi periodica dei rischi correlati ai dati personali trattati 36
Privacy e D.Lgs.231 Possibili punti di integrazione: Modelli organizzativi Processi e procedure Approcci e modelli di valutazione dei rischi DPS Disciplinare utilizzo posta elettronica e internet (linee guida del Garante del marzo 2007) Formazione del personale Rapporti con l OdV (protezione della documentazione, protezione dei flussi informativi, rapporti con i responsabili Privacy, poteri di accesso alle banche dati, ecc.). 37
Laura Quaroni Project Leader IT Advisory +39 348 8289009 lquaroni@kpmg.it www.kpmg.it