MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO ai sensi del D.Lgs. n. 231 del 2001 GOODYEAR DUNLOP TIRES ITALIA S.P.A. 4 febbraio 2013
2 Documento Protocollo Reati Informatici - File - Reati Informatici.doc Approvazione Consiglio di Amministrazione Data 04.02.2013 Revisioni Data 2 di
3 INDICE PREMESSE pag. 4 1. RECEPIMENTO DELLE PROCEDURE AZIENDALI SULL UTILIZZO DI STRUMENTI INFOR- MATICI E SULLA GESTIONE DELLE INFORMAZIONI AI FINI E PER GLI EFFETTI DEL DE- CRETO 231 2. AREE DI ATTIVITÀ A RISCHIO E RINVIO AL DOCUMENTO MAPPATURA DELLE AREE AZIENDALI SENSIBILI pag. 5 pag. 5 pag. 6 3. PRINCIPI DI COMPORTAMENTO - SISTEMA DI CONTROLLO - DIFFUSIONE E COMUNI- CAZIONE SANZIONI 3.1 Principi di comportamento pag. 6 3.2 Controlli e monitoraggio pag. 6 3.3 Diffusione e formazione pag. 3.4 Sanzioni pag. 3 di
4 PREMESSE L art. 24 del Decreto 231 (relativo ai reati commessi nei rapporti con la Pubblica Amministrazione) stabilisce la responsabilità amministrativa da reato in caso di commissione del delitto di frode informatica in danno dello Stato o di altro ente pubblico (art. 640-ter c.p.). Con l art. della Legge n. 48 del 18 marzo 2008 di recepimento della Convenzione di Budapest del 23.11.2001 sulla criminalità informatica è stato introdotto l art. 24-bis del Decreto 231 ( delitti informatici e trattamento illecito di dati ) che estende la responsabilità amministrativa dell ente ai seguenti reati: - falsità in un documento informatico pubblico o privato avente efficacia probatoria (art. 491- bis c.p.); - accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.); - detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 65-quater c.p.); - diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare od interrompere un sistema informatico o telematico (art. 615-quinquies c.p.); - intercettazione, impedimento o interruzione illecita di comunicazione informatiche o telematiche (art. 61-quater c.p.); - installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 61-quinquies c.p.); - danneggiamento di informazioni, dati e programmi informatici (art. 635 c.p.); - danneggiamento di informazioni, dati e programmi informatici utilizzato dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.); - danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.); - danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.); - frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.). Per i predetti delitti, sono previste sanzioni pecuniarie (che possono andare da un minimo di cento ad un massimo di seicento quote) e sanzioni interdittive (diverse per ciascun illecito). Nella Mappatura delle aree aziendali sensibili (a cui si rinvia), sono stati individuati: (i) i potenziali reati associabili ad attività aziendali sensibili; (ii) le macro-aree aziendali ed i settori di attività sensibili; (iii) i potenziali enti pubblici coinvolti; (iv) le possibili modalità di realizzazione del reato e le possibili finalità. Tra i sistemi organizzativi e di gestione già applicati da Goodyear, vi sono le procedure atte a regolamentare l utilizzo degli strumenti informatici che si recepiscono interamente nel presente Protocollo ai fini e per gli effetti del Decreto 231. Le regole prescritte nelle predette procedure risultano infatti costituire un idoneo protocollo a prevenire fattispecie delittuose connesse all utilizzo di sistemi informatici o alla gestione di informazione, nonché a prevenire la commissione di reati di detenzione di materiale pornografico e di pornografia virtuale. Il presente Protocollo è integrato anche dai principi di cui al Codice Etico e dalle specifiche istruzioni già fornite a tutti gli incaricati in attuazione del D.Lgs. 30 giugno 2003 n. 196 recante norme per la tutela del trattamento dei dati personali e relative misure di sicurezza applicate da Goodyear Dunlop Tires Italia S.p.A. ( Goodyear ). 4 di
5 1. RECEPIMENTO DELLE PROCEDURE AZIENDALI SULL UTILIZZO DI STRUMENTI INFORMATICI E SULLA GE- STIONE DELLE INFORMAZIONI AI FINI E PER GLI EFFETTI DEL DECRETO 231 Si devono intendere quivi integralmente trascritte le procedure atte a regolamentare l utilizzo degli strumenti informatici e la gestione delle informazioni adottate da Goodyear ed applicate in azienda nonché tutte le regole, norme, misure e procedure attuate da Goodyear in ottemperanza al D. Lgs. n. 196 del 2003 (Codice in materia di protezione dei dati personali). In particolare, devono intendersi quivi integralmente trascritte: il Business Conduct Manual, come definito nel Codice Etico; il Manuale di gestione della qualità il Documento Programmatico sulla Sicurezza e relative prescrizioni, ivi comprese le politiche di backup; la procedura di gestione dei mezzi informatici; le altre norme e regole aziendali applicabili all utilizzo di strumenti informatici e la gestione delle informazioni. Le predette procedure assicurano che il processo di utilizzo di sistemi informatici e di gestione delle informazioni rispetti le seguenti fasi: - definizione dell organizzazione, delle responsabilità, dei poteri e delle risorse necessarie o, in ogni caso, coinvolte nella gestione delle suddette attività; - gestione degli adempimenti in materia di sicurezza delle informazioni ed accesso ai sistemi (anche di terzi); - gestione dei sistemi informatici; - controlli e monitoraggio. 2. AREE DI ATTIVITÀ A RISCHIO E RINVIO AL DOCUMENTO MAPPATURA DELLE AREE AZIENDALI SENSIBI- LI Per aree di attività a rischio si intendono tutte quelle aree, funzioni, uffici, unità organizzative a- ziendali, processi, ecc. che svolgono attività critiche ai fini della potenziale commissione dei delitti informatici e trattamento illecito di dati citati nelle premesse del presente Protocollo. Con la Mappatura delle Aree Aziendali Sensibili, sono state identificate le seguenti macro aree di attività a rischio reato per i suddetti reati: a. Definizione standard di comportamento b. Gestione di accessi, account e profili c. Gestione delle reti d. Gestione dei sistemi di hardware e software e beni relativi e connessi e. Gestione della sicurezza del sistema IT aziendale f. Gestione degli accessi fisici ai siti ove sono collocate infrastrutture IT g. Controlli e monitoraggi. 5 di
6 3. PRINCIPI DI COMPORTAMENTO - SISTEMA DI CONTROLLO DIFFUSIONE E COMUNICAZIONE- SANZIO- NI 3.1 Principi di comportamento Il comportamento di quanti operano in Goodyear si ispira sempre a legalità, correttezza, lealtà e trasparenza ed è fatto espresso divieto agli organi sociali, al personale di Goodyear ed a tutti i soggetti coinvolti (ciascuno nella misura e con le modalità specifiche della propria funzione) - porre in essere, collaborare o dare causa a comportamenti che integrino, individualmente o collettivamente, direttamente od indirettamente, fattispecie di reato previste dall art. 24, art. 24-bis, art. 25-quinquies ed art. 25-novies-ter del Decreto 231; - porre in essere comportamenti potenzialmente idonei ad integrare le suddette fattispecie di reato. E fatto obbligo svolgere un attività di informazione e formazione sull utilizzo di sistemi informatici e la gestione di informazioni. Tutte le attività svolte devono rispettare il principio di tracciabilità degli atti. Le responsabilità devono essere attribuite nel rispetto del principio di separazione delle funzioni. E fatto obbligo a tutti (organi societari, il personale e quanti interessati) di attenersi rigorosamente alle ed applicare puntualmente le disposizioni di legge (ivi compreso il D. Lgs. n. 196 del 2003) e le procedure aziendali sull utilizzo di strumenti informatici e la gestione delle informazioni e relative istruzioni e misure di sicurezza. 3.2 Controlli e monitoraggio I responsabili di ciascuna funzione aziendale svolgono un attività di controllo e monitoraggio sulle attività a rischio reato svolte all interno della propria funzione, nonché sul rispetto delle norme e procedure a presidio delle stesse. In particolare l attività di monitoraggio deve riguardare i seguenti processi: - utilizzo dei sistemi informatici e della rete di Goodyear (ivi inclusi, strumenti antivirus, anti-intrusione, ecc.); - utilizzo da parte degli utenti dei personal computer; - utilizzo di credenziali di autenticazione; - possesso di password di abilitazione per l accesso a sistemi informativi di terzi; - utilizzo della posta elettronica; - utilizzo di internet; - utilizzo di telefoni e fax aziendali; - gestione degli accessi fisici ai siti ove sono collocate le infrastrutture IT; - gestione dei sistemi di hardware e software e beni relativi e connessi - verifica dell osservanza delle misure di sicurezza applicate da Goodyear; - verifica dell osservanza delle disposizioni di legge in materia di privacy. * * * In aggiunta agli obblighi informativi di carattere generale previsti nel Modello di Organizzazione, Gestione e Controllo e nel Codice Etico, devono essere trasmessi all Organismo di Vigilanza, a titolo esemplificativo, le informazioni relative: - agli aspetti più significativi connessi all utilizzo del sistema informatico di Goodyear; - ad eventuali omissioni, inesattezze, falsificazioni o altre violazioni relative all utilizzo del sistema informatico di Goodyear; - agli aspetti più significativi connessi all utilizzo di password di abilitazione per l accesso a sistemi informativi di terzi; 6 di
- agli esiti delle attività di monitoraggio e controllo effettuate dalle funzioni IT & Application, Human Resources, Comunicazione, Supply Chain e SOX e, in genere, dalle funzioni preposte alla gestione del sistema informatico di Goodyear; - agli eventuali provvedimenti disciplinari adottati nei confronti del personale per violazione delle procedure aziendali sull utilizzo dei sistemi informatici e la gestione delle informazioni; - ogni altra notizia, di cui si sia a conoscenza, relativa ad illeciti rilevanti ai sensi del Decreto 231. L Organismo di Vigilanza effettua i controlli ritenuti necessari, su base periodica (ed ha facoltà di chiedere tutte le ulteriori informazioni ritenute necessarie od opportune ai fini dell attività di vigilanza. Dei controlli, dovrà essere tenuta adeguata documentazione. I risultati dell attività dell Organismo di Vigilanza deve essere riportati al Consiglio di Amministrazione ed al Collegio Sindacale. 3.3 Diffusione e formazione In relazione a tutto quanto sopra, Goodyear assicura ampia diffusione alle procedure stabilite nel presente Protocollo e nei documenti relativi e connessi ed un adeguata formazione di base verso tutte le funzioni interessate in merito. 3.4 Sanzioni La mancata osservanza dei principi di comportamento stabiliti da Goodyear per l utilizzo dei sistemi informatici, in aggiunta alle sanzioni previste nelle procedure aziendali, è altresì sanzionata secondo quanto previsto nel sistema disciplinare adottato da Goodyear ai sensi del Decreto 231. di