MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO ai sensi del Decreto Legislativo 8 giugno 2001, n. 231 PARTE SPECIALE H DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI Approvato dal Consiglio di Amministrazione in data.. 2013 1

INDICE SOMMARIO 1. Funzione della Parte Speciale H... 3 2. Le Fattispecie dei Delitti informatici e Trattamento illecito di dati previsti dall art. 24-bis del D.Lgs. n. 231 del 2001... 4 3. Le Sanzioni previste in relazione ai Delitti informatici e Trattamento illecito di dati...10 4. Definizioni...12 5. Le Aree a Rischio Reato...13 6. Principi Generali di Comportamento in tutte le Aree a Rischio Reato...14 7. Regole specifiche di Comportamento nelle singole Aree a Rischio Reato...16 8. Compiti dell OdV...18 2

DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI 1. Funzione della Parte Speciale H Obiettivo della presente Parte Speciale è che tutti i Destinatari adottino comportamenti conformi a quanto prescritto dalla stessa, al fine di prevenire il verificarsi dei reati previsti dall articolo 24-bis del D.Lgs. n. 231 del 2001 (di seguito in breve il Decreto) e considerati in relazione all attività svolta da Banca Popolare FriulAdria S.p.A. (di seguito in breve FriulAdria o Banca). Nello specifico, la presente Parte Speciale ha lo scopo di: - indicare le regole che i Destinatari sono chiamati ad osservare ai fini della corretta applicazione del Modello di Organizzazione, Gestione e Controllo (di seguito in breve il Modello o MOG); - fornire all'organismo di Vigilanza ed ai Responsabili delle altre funzioni aziendali e di Capogruppo che cooperano con esso, i riferimenti utili per esercitare le attività di controllo, monitoraggio e verifica. La presente Parte Speciale ha la finalità di fornire, inoltre, indicazioni in merito a ciascuna delle fattispecie di reati disciplinati e di seguito riportati, al fine di facilitare la comprensione delle attività e delle funzioni nell ambito delle quali possono essere potenzialmente commessi i reati di cui al Decreto. Alcune aree di rischio attengono ad attività che FriulAdria ha esternalizzato presso la Capogruppo Cassa di Risparmio di Parma e Piacenza (di seguito in breve Cariparma ) e sono dettagliate in appositi Contratti di Service. Ferma restando la responsabilità della Banca nell adozione e attuazione del Modello, e fermo restando il ruolo dell Organismo di Vigilanza di FriulAdria, le competenti funzioni di Capogruppo forniscono a FriulAdria stessa collaborazione per l espletamento dei compiti e l adozione dei presidi, e supporto per la realizzazione dei controlli negli ambiti accentrati. Oltre alla più ampia attività di direzione e coordinamento, con specifico riguardo alle attività che costituiscono aree a rischio di delitti informatici e trattamento illecito dati, Cariparma svolge direttamente per FriulAdria attività nei seguenti ambiti: Sistemi informativi facility management mainframe e facility management open, gestione integrata applicativi e manutenzione evolutiva e progetti; Sicurezza gestione degli incidenti di sicurezza informatica, monitoraggio e verifica sicurezza informatica, amministrazione della sicurezza informatica, progettazione sicurezza e prevenzione frodi; Rischi e controlli permanenti controlli su sistemi informativi, piano di continuità operativa e policy di sicurezza. 3

2. Le Fattispecie dei Delitti informatici e Trattamento illecito di dati previsti dall art. 24-bis del D.Lgs. n. 231 del 2001 Si descrivono qui di seguito le singole fattispecie di reato per le quali l'art. 24-bis del Decreto, prevede una responsabilità degli enti nei casi in cui tali reati siano stati compiuti nell'interesse o a vantaggio degli stessi. In particolare, sono contemplate le fattispecie delittuose di seguito elencate: Falsità di Documenti Informatici (art. 491-bis c.p.) Se alcune delle falsità previste dal presente capo riguarda un documento informatico pubblico o provato avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. L'articolo in oggetto stabilisce che tutti i delitti relativi alla falsità in atti, tra i quali rientrano sia le falsità ideologiche che le falsità materiali, sia in atti pubblici che in atti privati, sono punibili anche nel caso in cui la condotta riguardi non un documento cartaceo bensì un documento informatico. I documenti informatici, pertanto, sono equiparati a tutti gli effetti ai documenti tradizionali. A titolo esemplificativo, integrano il delitto di falsità in documenti informatici la condotta di inserimento fraudolento di dati falsi nelle banche dati pubbliche oppure la condotta dell addetto alla gestione degli archivi informatici che proceda, deliberatamente, alla modifica di dati in modo da falsificarli. Inoltre, il delitto potrebbe essere integrato tramite la cancellazione o l'alterazione di informazioni a valenza probatoria presenti sui sistemi dell'ente, allo scopo di eliminare le prove di un altro reato. Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.) Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni ( ). Tale reato si realizza quando un soggetto "abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha diritto ad escluderlo". Il delitto di accesso abusivo al sistema informatico rientra tra i delitti contro la libertà individuale. Il bene che viene protetto dalla norma è il domicilio informatico seppur vi sia chi sostiene che il bene tutelato è, invece, l integrità dei dati e dei programmi contenuti nel sistema informatico. L accesso è abusivo poiché effettuato contro la volontà del titolare del sistema, la quale può essere implicitamente manifestata tramite la predisposizione di protezioni che inibiscano a terzi l'accesso al sistema. Risponde del delitto di accesso abusivo a sistema informatico anche il soggetto che, pur essendo entrato legittimamente in un sistema, vi si sia trattenuto contro la volontà del titolare del sistema oppure il soggetto che abbia utilizzato il sistema per il perseguimento di finalità differenti da quelle per le quali era stato autorizzato. 4

Il delitto di accesso abusivo a sistema informatico si integra, ad esempio, nel caso in cui un soggetto accede abusivamente ad un sistema informatico e procede alla stampa di un documento contenuto nell archivio del PC altrui, pur non effettuando alcuna sottrazione materiale di file, ma limitandosi ad eseguire una copia (accesso abusivo in copiatura) oppure procedendo solo alla visualizzazione di informazioni (accesso abusivo in sola lettura). Il delitto potrebbe essere astrattamente commesso da parte di qualunque dipendente della Banca accedendo abusivamente ai sistemi informatici di proprietà di terzi (outsider hacking), ad esempio, per prendere cognizione di dati riservati di un impresa concorrente ovvero tramite la manipolazione di dati presenti sui propri sistemi come risultato dei processi di business, allo scopo di produrre un bilancio falso o, infine, mediante l'accesso abusivo a sistemi aziendali protetti da misure di sicurezza, da parte di utenti dei sistemi stessi, per attivare servizi non richiesti dalla clientela. Detenzione e diffusione abusiva di codici di accesso a sistema informatici o telematici (art. 615-quater c.p.) Chiunque, al fine di procurare a sé o ad altri, un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino a un anno e con la multa sino a 5.164. La pena è della reclusione da uno a due anni e della multa da 5.164 a 10.329 se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell articolo 617-quater 1. Tale reato si realizza quando un soggetto, "al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all accesso di un sistema informatico o telematico, protetto da misure di sicurezza o comunque fornisce indicazioni o istruzioni idonee al predetto scopo". Il legislatore ha introdotto questo reato al fine di prevenire le ipotesi di accessi abusivi a sistemi informatici. Per mezzo dell art. 615-quater c.p., pertanto, sono punite le condotte preliminari all accesso abusivo poiché consistenti nel procurare a sé o ad altri la disponibilità di mezzi di accesso necessari per superare le barriere protettive di un sistema informatico. I dispositivi che consentono l accesso abusivo ad un sistema informatico sono costituiti, ad esempio, da codici, password o schede informatiche (ad esempio, badge, carte di credito, bancomat e smart card). Questo delitto si integra sia nel caso in cui il soggetto che sia in possesso legittimamente dei dispositivi di cui sopra (operatore di sistema) li comunichi senza autorizzazione a terzi soggetti, sia nel caso in cui tale soggetto si procuri illecitamente uno di tali dispositivi. La condotta è abusiva nel caso in cui i codici di accesso siano ottenuti a seguito della violazione di una norma, ovvero di una clausola contrattuale, che vieti detta condotta (ad esempio, policy Internet). L art. 615-quater, inoltre, punisce chi rilascia istruzioni o indicazioni che rendano possibile la ricostruzione del codice di accesso oppure il superamento delle misure di sicurezza. Risponde, ad esempio, del delitto di diffusione abusiva di codici di accesso, il dipendente di una banca autorizzato ad un certo livello di accesso al sistema informatico che ottenga illecitamente il livello di accesso superiore, procurandosi codici o altri strumenti di accesso mediante lo sfruttamento della propria posizione all interno della banca oppure carpisca in altro modo fraudolento o ingannevole il codice di accesso. 1 Le circostanze aggravanti previste dai numeri 1) e 2) del 4 comma dell art. 617-quater c.p. ricorrono qualora il fatto è commesso: 1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema. 5

Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.) Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l interruzione, totale o parziale, o l alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa fino a 10.329. Tale reato si realizza qualora qualcuno, "allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici". Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.) Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma. I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa. Tuttavia si procede d ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso: 1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema; 3) da chi esercita anche abusivamente la professione di investigatore privato. Tale ipotesi di reato si integra qualora un soggetto fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero impedisce o interrompe tali comunicazioni, nonché nel caso in cui un soggetto riveli, parzialmente od integralmente, il contenuto delle comunicazioni al pubblico mediante qualsiasi mezzo di informazione al pubblico. La norma tutela la libertà e la riservatezza delle comunicazioni informatiche o telematiche durante la fase di trasmissione, al fine di garantire l autenticità dei contenuti e la riservatezza degli stessi. La fraudolenza consiste nella modalità occulta di attuazione dell'intercettazione, all'insaputa del soggetto che invia o a cui è destinata la comunicazione. Perché possa realizzarsi questo delitto è necessario che la comunicazione sia attuale, vale a dire in corso, nonché personale ossia diretta ad un numero di soggetti determinati o determinabili (siano essi persone fisiche o giuridiche). Nel caso in cui la comunicazione sia rivolta ad un numero indeterminato di soggetti la stessa sarà considerata come rivolta al pubblico. Attraverso tecniche di intercettazione è possibile, durante la fase della trasmissione di dati, prendere cognizione del contenuto di comunicazioni tra sistemi informatici o modificarne la destinazione: l obiettivo dell azione è tipicamente quello di violare la riservatezza dei messaggi, ovvero comprometterne l integrità, ritardarne o impedirne l arrivo a destinazione. Installazione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.) 6

Chiunque, fuori dei casi consentiti dalla legge, installa apparecchiature atte a intercettare, impedire od interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell articolo 617-quater. Questa fattispecie di reato si realizza quando qualcuno, "fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi". La condotta vietata dall art. 617-quinquies è, pertanto, costituita dalla mera installazione delle apparecchiature, a prescindere dalla circostanza che le stesse siano o meno utilizzate. Si tratta di un reato che mira a prevenire quello precedente di intercettazione, impedimento o interruzione di comunicazioni informatiche o telematiche. Anche la semplice installazione di apparecchiature idonee all'intercettazione viene punita dato che tale condotta rende probabile la commissione del reato di intercettazione. Ai fini della condanna il giudice dovrà, però, limitarsi ad accertare se l apparecchiatura installata abbia, obbiettivamente, una potenzialità lesiva. Qualora all installazione faccia seguito anche l utilizzo delle apparecchiature per l'intercettazione, interruzione, impedimento o rivelazione delle comunicazioni, si applicheranno nei confronti del soggetto agente, qualora ricorrano i presupposti, più fattispecie criminose. Il reato si integra, ad esempio, a vantaggio dell ente, nel caso in cui un dipendente, direttamente o mediante conferimento di incarico ad un investigatore privato (se privo delle necessarie autorizzazioni) si introduca fraudolentemente presso la sede di un concorrente o di un cliente insolvente al fine di installare apparecchiature idonee all intercettazione di comunicazioni informatiche o telematiche. Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.) Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635 2, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d ufficio. Tale fattispecie reato si realizza quando un soggetto "distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui". Il reato, ad esempio, si integra nel caso in cui il soggetto proceda alla cancellazione di dati dalla memoria del computer senza essere stato preventivamente autorizzato da parte del titolare del terminale. Il danneggiamento potrebbe essere commesso a vantaggio dell ente laddove, ad esempio, l eliminazione o l alterazione dei file o di un programma informatico appena acquistato siano poste in essere al fine di far venire meno la prova del credito da parte del fornitore dell ente o al fine di contestare il corretto adempimento delle obbligazioni da parte del fornitore. Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.) Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni. 2 L art. 635, 2 comma, n. 1, c.p. prevede l aumento della pena nel caso in cui il danneggiamento è commesso con violenza alla persona o con minaccia. 7

Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635, ovvero il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata. Tale reato si realizza quando un soggetto "commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità". Questo delitto si distingue dal precedente poiché, in questo caso, il danneggiamento ha ad oggetto beni dello Stato o di altro ente pubblico o, comunque, di pubblica utilità; ne deriva che il delitto sussiste anche nel caso in cui si tratti di dati, informazioni o programmi di proprietà di privati ma destinati alla soddisfazione di un interesse di natura pubblica. Perché il reato si integri è sufficiente che si tenga una condotta finalizzata al deterioramento o alla soppressione del dato. Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.) Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all articolo 635-bis, ovvero attraverso l introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635 ovvero il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata. Questo reato si realizza quando un soggetto "mediante le condotte di cui all art. 635-bis (danneggiamento di dati, informazioni e programmi informatici), ovvero attraverso l introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento". Si tenga conto che qualora l alterazione dei dati, delle informazioni o dei programmi renda inservibile o ostacoli gravemente il funzionamento del sistema si integrerà il delitto di danneggiamento di sistemi informatici e non quello di danneggiamento dei dati previsto dall art. 635-bis. Il reato si integra in caso di danneggiamento o cancellazione dei dati o dei programmi contenuti nel sistema, effettuati direttamente o indirettamente (per esempio, attraverso l inserimento nel sistema di un virus). Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.) Se il fatto di cui all articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni. Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell articolo 635, ovvero il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata. Questo reato si configura quando "il fatto di cui all art. 635-quater (Danneggiamento di sistemi informatici o telematici) è diretto a distruggere, danneggiare, rendere, in tutto o in parte inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento. Nel delitto di danneggiamento di sistemi informatici o telematici di pubblica utilità, differentemente dal delitto di danneggiamento di dati, informazioni e programmi di pubblica utilità (art. 635-ter), ciò che rileva è che il sistema sia utilizzato per il perseguimento di pubblica utilità indipendentemente dalla proprietà privata o pubblica del sistema stesso. Il reato si può configurare nel caso in cui un Dipendente cancelli files o dati, relativi ad un'area per cui sia stato abilitato ad operare, per conseguire vantaggi interni (ad esempio, far venire meno la 8

prova del credito da parte di un ente o di un fornitore) ovvero che l'amministratore di sistema, abusando della sua qualità, ponga in essere i comportamenti illeciti in oggetto per le medesime finalità già descritte. Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.) Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a se o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a 1.032 euro. Questo reato si configura quando "il soggetto che presta servizi di certificazione di firma elettronica, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato". Questo reato potrebbe configurarsi in capo a FriulAdria in ipotesi di commissione in concorso con il soggetto che presta servizi di certificazione di firma elettronica, nell interesse o vantaggio della Banca. 9

3. Le Sanzioni previste in relazione ai Delitti informatici e Trattamento illecito di dati Si riporta, di seguito, una tabella riepilogativa delle sanzioni a carico degli enti previste dall articolo 24- bis del D.Lgs. n. 231 del 2001 in riferimento ai reati indicati al precedente paragrafo 2. Reato Sanzione Pecuniaria 3 Sanzione Interdittiva Accesso abusivo a un sistema informatico o telematico (art. 615-ter c.p.) Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.) Installazione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.) Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.) Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.) Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.) Danneggiamento di sistemi Da 100 a 500 quote - interdizione dall esercizio dell attività; - sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell illecito; - divieto di pubblicizzare beni o servizi. 3 Si ricorda che come previsto nel paragrafo 3.2 della Parte Generale, le sanzioni sono calcolate in base ad un sistema per quote in un numero non inferiore a cento né superiore a mille, la cui commisurazione viene determinata dal giudice sulla base della gravità del fatto e del grado di responsabilità dell ente, dall attività svolta dall ente per eliminare o attenuare le conseguenze del fatto illecito e per prevenire la commissione di ulteriori illeciti; ogni singola quota va da un minimo di Euro 258 ad un massimo di Euro 1.549 e l importo di ogni quota viene determinato dal giudice tenendo in considerazione le condizioni economiche e patrimoniali dell ente; l ammontare della sanzione pecuniaria, pertanto, viene determinata per effetto della moltiplicazione del primo fattore (numero di quote) per il secondo (importo della quota). 10

informatici o telematici di pubblica utilità (art. 635- quinquies c.p.) Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.) Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (615-quinquies c.p.) Documenti informatici (art. 491-bis c.p.) Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.) Fino a 300 quote Fino a 400 quote - sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell illecito; - divieto di pubblicizzare beni o servizi. - divieto di contrattare con la Pubblica Amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; - esclusione da agevolazioni, finanziamenti, contributi o sussidi o eventuale revoca di quelli già concessi; - divieto di pubblicizzare beni o servizi. In aggiunta alle sanzioni sopra indicate, devono essere considerate le ulteriori misure previste in generale dalla normativa di riferimento (i.e.: la confisca del prezzo o del profitto del reato e l eventuale pubblicazione della sentenza di condanna). 11

4. Definizioni Ad integrazione delle definizioni elencate nella Parte Generale del Modello, si consideri la seguente ulteriore definizione da applicare alla presente Parte Speciale H: "Delitti Informatici": sono i delitti richiamati dall'art. 24-bis del Decreto e disciplinati dal codice penale agli artt. 491-bis, 615-ter, 615-quater, 615-quinquies, 617-quater, 617-quinquies, 635-bis, 635- ter, 635-quater, 635-quinquies e 640-quinquies; "Documento informatico": la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (art. 1, co. 1, lett. p), D.Lgs. 82/2005, salvo modifiche ed integrazioni); "Firma elettronica": l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica" (art. 1, co. 1, lett q, D.Lgs. 82/2005). 12

5. Le Aree a Rischio Reato Sulla base di quanto previsto dall art. 6 comma 2 del D.Lgs. 231/01, sono state identificate, con riferimento a ciascuna categoria di reato, le aree aziendali della Banca nell ambito delle quali si potrebbe configurare la commissione dei delitti informatici e trattamento illecito previsti dall articolo 24-bis del Decreto. All interno di ciascuna area sono state individuate le attività sensibili, i controlli ed i principi di comportamento che devono essere rispettati da tutti coloro che operano in nome e per conto della Banca. Nel corso dell attività di analisi, condotta all interno del Gruppo Cariparma Crédit Agricole nell ambito delle funzioni aziendali di volta in volta interessate (c.d. risk assessment) ed in considerazione delle attività connesse all utilizzo di sistemi informativi e trattamento dei dati sensibili, è stata individuata un Area a Rischio Reato : 1. Gestione dei Sistemi Informativi 13

6. Principi Generali di Comportamento in tutte le Aree a Rischio Reato In linea generale ed al fine di prevenire la commissione dei reati dei delitti informatici e trattamento illecito dei dati previsti dall articolo 24-bis del Decreto, i Destinatari che svolgono la propria attività nell ambito dell Area a Rischio Reato individuata, fermo restando quanto indicato nel successivo paragrafo 7, dal Codice Etico, dal Codice di Comportamento Interno, dalla politica aziendale relativa alla gestione degli accessi logici a reti, sistemi, dati e applicazioni, dalla politica aziendale relativa alla gestione delle credenziali personali (username e password) e dalle specifiche Normative Aziendali sono tenuti al rispetto dei seguenti principi generali di condotta: astenersi dal porre in essere o partecipare alla realizzazione di condotte che, considerate individualmente o collettivamente, possano integrare le fattispecie di reato indicate nel precedente paragrafo 2; astenersi dal porre in essere ed adottare comportamenti che, sebbene non integrino, di per sé, alcuna delle fattispecie dei reati indicati nel precedente paragrafo 2, possano potenzialmente diventare idonei alla realizzazione dei reati medesimi; astenersi dal non corretto utilizzo delle risorse informatiche, che devono essere utilizzate esclusivamente per l espletamento delle attività lavorative, nonché custodire e conservare in modo inappropriate le stesse che, sebbene non integrino, di per sé, alcuna delle fattispecie dei reati indicati nel precedente paragrafo 2, possano potenzialmente diventare idonei alla realizzazione dei reati medesimi. A questo proposito, a titolo meramente esemplificativo e non esaustivo, è fatto divieto in particolare di: introdursi abusivamente in un sistema informatico o telematico protetto da misure di sicurezza contro la volontà del titolare del diritto di accesso; accedere al sistema informatico o telematico o a parti di esso ovvero a banche dati di FriulAdria o a parti di esse non possedendo le credenziali di accesso o mediante l utilizzo di credenziali di altri colleghi abilitati; distruggere, deteriorare, cancellare, alterare, sopprimere informazioni, dati o programmi informatici altrui o anche solo mettere in pericolo l integrità e la disponibilità di informazioni, dati o programmi utilizzati dallo Stato o da altro ente pubblico o ad esso pertinenti o comunque di pubblica utilità; introdurre o trasmettere dati, informazioni o programmi al fine di distruggere, danneggiare, rendere in tutto o in parte inservibili, ostacolare il funzionamento dei sistemi informatici o telematici di pubblica utilità; alterare, mediante l utilizzo di firma elettronica o comunque in qualsiasi modo, documenti informatici; produrre e trasmettere documenti in formato elettronico contenenti dati falsi e/o alterati; intercettare fraudolentemente e/o diffondere, mediante qualsiasi mezzo di informazione al pubblico, comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi; utilizzare dispositivi tecnici o strumenti software non autorizzati (ad esempio virus, worm, trojan, spyware, dialer, keylogger, rootkit) atti ad impedire o interrompere le comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi; detenere, procurarsi, riprodurre e/o diffondere abusivamente codici di accesso o comunque mezzi idonei all accesso di un sistema protetto da misure di sicurezza; procurare, riprodurre, diffondere, comunicare, mettere a disposizione di altri apparecchiature, dispositivi o programmi al fine di danneggiare illecitamente un sistema o i dati e i programmi ad esso pertinenti ovvero favorirne l interruzione o l alterazione del suo funzionamento; rimuovere il software antivirus installato sugli strumenti informatici in dotazione agli utenti. 14

Le funzioni/unità organizzative e, in particolare, coloro i quali rivestono posizioni rilevanti nell utilizzo e nell amministrazione dei sistemi informatici, devono ispirare la loro azione ai seguenti principi generali: Riservatezza - garanzia che un determinato dato sia preservato da accessi impropri e sia utilizzato esclusivamente dai soggetti autorizzati. Le informazioni riservate devono essere protette sia nella fase di trasmissione sia nella fase di memorizzazione/conservazione, in modo tale che l informazione sia accessibile esclusivamente a coloro i quali sono autorizzati a conoscerla; Integrità - garanzia che ogni dato aziendale sia realmente quello originariamente immesso nel sistema informatico e sia stato modificato esclusivamente in modo legittimo. Si deve garantire che le informazioni vengano trattate in modo tale che non possano essere manomesse o modificate da soggetti non autorizzati; Disponibilità - garanzia di reperibilità di dati aziendali in funzione delle esigenze di continuità dei processi e nel rispetto delle norme che ne impongono la conservazione storica. Infine, premesso che i documenti cartacei contenenti dati sensibili e/o giudiziari devono essere utilizzati dal Personale solo per il tempo necessario allo svolgimento dei compiti assegnati e poi riposti negli archivi dedicati alla loro conservazione, i Destinatari della presente Parte Speciale sono tenuti al rispetto delle regole previste per il trattamento di tali dati, di seguito riportate: i documenti contenenti dati sensibili e/o giudiziari non devono essere lasciati incustoditi. In caso di assenza del personale autorizzato, anche momentaneamente, dalla stanza e/o posto di lavoro è necessario, qualora non vi sia personale addetto alla custodia, chiudere a chiave i locali che ospitano i dati ovvero riporli dentro un armadio/cassetto chiuso a chiave; è vietato lasciare dati sensibili o giudiziari su supporti (lavagne o simili) che possano essere visionati da persone non autorizzate; la fotoriproduzione di documentazione cartacea contenente dati sensibili o giudiziari deve avvenire solo se strettamente necessaria facendo attenzione a non lasciare gli originali e/o le copie nelle fotocopiatrici; i documenti contenenti dati sensibili e/o giudiziari non più necessari devono essere resi illeggibili prima di essere cestinati (ad es. macerando i documenti). 15

7. Regole specifiche di Comportamento nelle singole Aree a Rischio Reato Oltre ai principi generali sopra esposti e a quelli contenuti nella Parte Generale del MOG, devono essere rispettate le specifiche regole di comportamento indicate per ogni attività sensibile nell Area a Rischio Reato e di seguito trattata. 7.1 Aree a rischio 7.1.1 Gestione dei Sistemi Informativi All interno dell area a rischio sono state rilevate le seguenti attività sensibili: gestione della sicurezza informatica a livello fisico e logico; analisi, sviluppo e rilascio di sistemi informativi; gestione connessioni di rete; manutenzione delle applicazioni esistenti / installazione software; protezione degli strumenti informatici in dotazione; gestione dei rapporti con outsourcer e provider esterni. Le fattispecie di reato che potrebbero potenzialmente essere realizzate nello svolgimento delle attività sopra menzionate sono: accesso abusivo ad un sistema informatico o telematico (Art. 615-ter c.p.); detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (Art. 615-quater c.p.); diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (Art. 615-quinquies c.p.); intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (Art. 617-quater c.p.); installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche (Art. 617 -quinquies c.p.); danneggiamento di informazioni, dati e programmi informatici (Art. 635-bis c.p.); danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (Art. 635-ter c.p.); danneggiamento di sistemi informatici o telematici (Art. 635-quater c.p.); danneggiamento di sistemi informatici o telematici di pubblica utilità (Art. 635- quinquies c.p.); documenti informatici (art. 491-bis c.p.); frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.). A titolo esemplificativo e non esaustivo, la possibile modalità di commissione del reato può essere così descritta: alterazione e/o danneggiamento dei sistemi informativi utilizzati dalla Banca al fine di creare un indebito vantaggio per la stessa; alterazione e/o danneggiamento di dati, informazioni e programmi informatici utilizzati dalla Banca al fine di creare un indebito vantaggio per la stessa. 16

In relazione ai potenziali rischi di commissione reato sopra evidenziati, è stato implementato un sistema di controlli preventivi che prevede: segregazione dei compiti in merito alle attività di gestione dei sistemi informativi nel rispetto dei livelli autorizzativi definiti in base al sistema delle deleghe e della normativa aziendale in essere; l applicazione di regole volte a disciplinare le politiche generali di sicurezza dei sistemi informativi del Gruppo; l applicazione di regole volte a disciplinare l elaborazione e l implementazione del piano d azione per la Sicurezza dei Sistemi Informativi; l applicazione di regole formali volte a disciplinare i principi da adottare per utilizzare, conservare, trasferire e proteggere i dati personali trattati nel corso dell attività lavorativa e che possono essere contenuti in documenti cartacei o digitali; attività di verifica connesse alla gestione dei sistemi informativi, che prevedono tra l altro: la definizione di regole volte a disciplinare le modalità di utilizzo della posta elettronica, di internet e in generale di documenti normativi, tecnici e di indirizzo necessari per un corretto utilizzo del sistema informatico e diffusione capillare dello stesso a ciascun dipendente e alle terze parti che utilizzano la rete; l applicazione di regole volte a disciplinare la gestione degli user id e delle password; l applicazione di regole volte a disciplinare la classificazione dei beni del sistema informativo adottato dalla Banca; l applicazione di regole volte a disciplinare il processo di richiesta da parte dei clienti della Banca, al fine di usufruire del dispositivo di firma digitale rilasciato dal certificatore qualificato ; l attività di monitoraggio del traffico dalla rete esterna alla rete interna (firewall); l effettuazione di periodiche attività di backup e ripristino dei dati; la verifica della corretta segregazione degli accessi a sistema; la verifica dell allineamento delle abilitazioni a sistema rispetto alle reali necessità/attività operative svolte dai singoli utenti; la rilevazione periodica circa l efficacia delle misure di sicurezza e delle vulnerabilità sulle abilitazioni; la definizione di regole finalizzate all inserimento di specifiche clausole contrattuali 231/01 all'interno di tutti i contratti stipulati con i fornitori di servizi e/o sistemi IT; l attivazione di un sistema di segnalazioni automatiche che rilevano anomalie e/o vulnerabilità di sistema; l attivazione di un sistema di accesso logico idoneo a controllare che le attività di utilizzo delle risorse da parte dei processi e degli utenti e di accesso alla rete si esplichino attraverso la verifica e la gestione dei diritti d'accesso; l adozione di sistemi di protezione antivirus e antispam; l archiviazione di tutta la documentazione di supporto relativa al servizio prestato a favore dei clienti della Banca, che richiedono di usufruire del dispositivo di firma digitale rilasciato dal certificatore qualificato ; l adozione di un sistema che prevede il tracciamento delle operazioni che possono influenzare la sicurezza dei dati critici (registrazione dei log on e log off). 17

8. Compiti dell OdV Fermi restando i compiti e le funzioni dell OdV statuiti nella Parte Generale del presente Modello, ai fini della prevenzione dei reati informatici e trattamento illecito di dati, lo stesso è tenuto a: verificare il rispetto da parte dei Destinatari delle prescrizioni e dei comportamenti esposti ai precedenti paragrafi; monitorare l adozione e l effettiva implementazione delle azioni correttive che la Società ha pianificato di porre in essere al fine di prevenire il rischio di commissione dei Reati Informatici e Trattamento illecito di dati; verificare l adozione di un sistema di deleghe conforme ai principi dettati dal D.Lgs. n. 231 del 2001. Si ricorda, inoltre, che, tra i suoi compiti, l OdV deve comunicare i risultati della propria attività di vigilanza e controllo in materia di reati informatici e trattamento illecito di dati al Consiglio di Amministrazione nonché al Collegio Sindacale. 18