ACAM Ambiente S.p.A.



Documenti analoghi
Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001

PARTE SPECIALE Sezione II. Reati informatici

LIBRO SECONDO. Dei delitti in particolare TITOLO III. Dei delitti contro l'amministrazione della giustizia CAPO III

Parte speciale Reati informatici

LEGGE 23 dicembre 1993 n. 547

ACAM Ambiente S.p.A.

- PARTE SPECIALE B- DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI

Sezione Reati ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita

Reati informatici. Elementi generali. Sentenza. Violenza sulle cose. Normativa di riferimento. Accesso abusivo a un sistema informatico 1/3

PARTE SPECIALE DELITTI INFORMATICI E DI TRATTAMENTO ILLECITO DI DATI I DELITTI INFORMATICI E DI TRATTAMENTO ILLECITO DI DATI

REATI NEI RAPPORTI CON LA PUBBLICA AMMINISTRAZIONE

Attacchi informatici: gli strumenti di tutela

Reati informatici Corso Nuove tecnologie e diritto a.a. 2007/2008

PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI INFORMATICI Approvato. Data. Rev C.d.A 02/01/2012

PARTE SPECIALE Sezione VII. Sicurezza e salute sul lavoro

L amministratore di sistema. di Michele Iaselli

PARTE SPECIALE SEZIONE II I REATI INFORMATICI

Codice Penale art. 437

Trasmesso dal Presidente della Camera dei deputati alla Presidenza il 18 ottobre 2013

Linux e la sicurezza Computer crimes e tutela della privacy

FIDEURO MEDIAZIONE CREDITIZIA S.R.L.

Approvato dal Consiglio di Amministrazione del 25 maggio 2012

DEONTOLOGIA PROFESSIONALE

Modello di Organizzazione, Gestione e Controllo ex D. Lgs. 231/2001. Parte 01 PRESENTAZIONE DEL MODELLO

REV. 2015/00 Pag. 1 di 5

( PROCEDURA REGISTRO PERSONE RILEVANTI )

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

TECNOLOGIE DIESEL E SISTEMI FRENANTI S.P.A. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N.

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

- PARTE SPECIALE D- I REATI DI RICETTAZIONE, RICICLAGGIO E IMPIEGO DI DENARO, BENI O UTILITA DI PROVENIENZA ILLECITA

PARTE SPECIALE Illeciti ambientali

Regolamento sui limiti al cumulo degli incarichi ricoperti dagli Amministratori del Gruppo Banco Popolare

AIM Italia/Mercato Alternativo del Capitale. Requisiti generali di organizzazione - funzioni aziendali di controllo (Nominated Adviser)

Modello Organizzativo ex D.Lgs. 231/01

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO

REGOLAMENTO RELATIVO ALL ACCESSO MEDIANTE VPN AI CENTRI SERVIZI DI INNOVAPUGLIA

CAMERA DEI DEPUTATI PROPOSTA DI LEGGE COMINARDI, LOMBARDI, DI BATTISTA, TRIPIEDI, CIPRINI, CHIMIENTI, BALDASSARRE, BARONI

I reati informatici. Note preliminari. Tipi di reati informatici. Norme penali e informatica. Violenza sulle cose. Legge sulla criminalità informatica

PARTE SPECIALE F DELITTI CON LA PERSONALITA INDIVIDUALE

D. LGS 81/2008. Rappresentante dei lavoratori per la sicurezza

REGOLAMENTO INTERNO PER LA GESTIONE E LA COMUNICAZIONE ALL ESTERNO DI INFORMAZIONI RISERVATE E PRIVILEGIATE

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

ATTI AMMINISTRATIVI. Prefettura di Firenze - Protezione dei dati personali

REGOLAMENTO COMUNALE SUI CONTROLLI INTERNI

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ONLINE

REGOLAMENTO PER LA DISCIPLINA

CITTÀ DI AGROPOLI. Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente

Modifiche al codice penale ex legge 190/2012

Organismo per la gestione degli elenchi degli agenti in attività finanziaria e dei mediatori creditizi

COMUNE DI CASTENEDOLO Provincia di Brescia REGOLAMENTO COMUNALE PER LA DISCIPLINA DEL SISTEMA DEI CONTROLLI INTERNI

COMUNE DI CIGLIANO REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE

Istruzioni operative per gli Incaricati del trattamento dei dati personali

Parte Speciale G : I reati transnazionali e di ricettazione, riciclaggio ed impiego di denaro, beni o utilità di provenienza illecita

La Giunta Comunale. Visto il D.P.R n. 223 Regolamento Anagrafico e sue modifiche;

COMUNE DI RENATE Provincia di Monza e Brianza

REATI PENALI SPECIFICI PER LE SOCIETA QUOTATE IN BORSA. Hanno contribuito

ACAM Ambiente S.p.A.

Approvazione CDA del 25 giugno Limiti al cumulo di incarichi ricoperti dagli amministratori di Unipol Gruppo Finanziario S.p.A.

Associazione Comunità IL GABBIANO ONLUS

REGOLAMENTO PER IL VOTO MAGGIORATO

Protocollo D.Lgs. 231/2001 n. 11. Gestione ed elaborazione della contabilità e del bilancio di esercizio

Norme di attuazione del Regolamento di formazione professionale continua del dottore commercialista

PARTE SPECIALE G REATI INFORMATICI E DI TRATTAMENTO ILLECITO DEI DATI

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

PROVINCIA DI LECCE SERVIZI INFORMATICI

Politica per la Sicurezza

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

LICENZA D USO di SOFTWARE

I REATI TRIBUTARI PUNITI PENALMENTE

COMUNE DI CAMINO (AL) REGOLAMENTO SUI CONTROLLI INTERNI. Approvato con Deliberazione di Consiglio Comunale n. 3 del 25/1/2013

i) Regolamento per l'utilizzo dei sistemi informatici dell Associazione Forte di Bard

Matteo Colombo Esperto in materia di Privacy e D.Lgs. 231/2001, Amministratore Delegato di Labor Project

Avv. Carlo Autru Ryolo

Policy di gestione delle operazioni con soggetti collegati. Allegato 1 Sistema dei limiti alle attività di rischio verso soggetti collegati

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

PARTE SPECIALE Sezione IV. Reati contro industria e commercio

Chi è il Rappresentante dei Lavoratori per la Sicurezza RLS

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

Ci si riferisce, in particolare, all'abuso della qualità di operatore di

Software Servizi Web UOGA

COMUNE DI CARBONERA Provincia di Treviso REGOLAMENTO PER LA GESTIONE E IL FUNZIONAMENTO DEL SITO INTERNET ISTITUZIONALE

DELITTI CONTRO L INDUSTRIA ED IL COMMERCIO MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO. CONSIP S.P.A. a socio unico ***** PARTE SPECIALE K

MAGGIO 82 cooperativa sociale

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

Transcript:

ACAM Ambiente S.p.A. Modello di organizzazione e controllo ex D.Lgs. 231/2001 Delitti informatici e trattamento illecito dei dati Approvato con determinazione A.U. del 23.12.2014 1/11

Sommario 1. Ambito applicativo ed obiettivi...3 2. Delitti informatici e trattamento illecito di dati...4 3. I Processi sensibili...7 4. I Principi generali di comportamento...8 5. I controlli dell Organismo di Vigilanza...11 2/11

1. AMBITO APPLICATIVO ED OBIETTIVI La presente Parte Speciale riguarda i delitti informatici ed il trattamento illecito di dati, previsto dall art. 24 bis del D. Lgs. 231/2001. Si tratta di una famiglia di reati introdotta nell ambito applicativo della responsabilità amministrativa degli enti dalla L. 48 del 2008, di ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, sottoscritta a Budapest, e norme di regolamento interno. Vengono in considerazione eventuali atti compiuti da soggetti aziendali quali amministratori, dirigenti e dipendenti di ACAM Ambiente S.p.A. che, in ragione delle loro cariche o funzioni, svolgano attività su sistemi informatici. In tali occasioni, infatti, questi soggetti, al fine di assicurare un vantaggio alla Società potrebbero manomettere o alterare sistemi informatici ovvero modificare e falsificare i dati contenuti al loro interno. La presente Parte Speciale ha lo scopo di: individuare ed illustrare le fattispecie incriminatrici comprese tra i delitti informatici e di trattamento illecito di dati dalle quali, in caso di commissione da parte di soggetti aziendali nell interesse o a vantaggio della Società, può discendere la responsabilità amministrativa ex D.Lgs. 231/2001 in capo ad ACAM Ambiente S.p.A.; indicare le regole di comportamento e le procedure che gli amministratori, i dirigenti ed i dipendenti, nonché i terzi, compresi consulenti ed eventuali partner di ACAM Ambiente S.p.A., sono tenuti a rispettare per una corretta applicazione del Modello con riguardo al reato in esame; fornire all Organismo di Vigilanza e ai responsabili delle funzioni aziendali gli elementi di riferimento per il corretto esercizio delle attività di controllo, monitoraggio e verifica. 3/11

2. DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI I reati considerati all interno dell art. 24 bis sono quelli di: Documenti informatici (art. 491 bis c.p.) [1] Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. La norma estende ai documenti informatici, che abbiano efficacia probatoria, la punibilità prevista dai reati di cui al Capo III Della falsità in atti del Titolo VII Dei delitti contro la fede pubblica del secondo libro del codice penale. Accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.) [1] Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. [2] La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. [3] Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. [4] Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio. La fattispecie in esame si configura nell ipotesi in cui taluno si introduca o permanga abusivamente all interno di un sistema informatico. A tal proposito appare opportuno precisare che per sistema informatico si intende qualsiasi sistema destinato alla elaborazione dei dati ed alla loro utilizzazione, mentre il sistema telematico è il sistema derivante dall integrazione 4/11

di tecnologie informatiche e delle telecomunicazioni, che consente la trasmissione di dati attraverso la rete telefonica e reti dedicate. Tali sistemi, ai fini dell integrazione del reato, devono essere protetti da misure di sicurezza. La condotta che integra la realizzazione del delitto è quella di introduzione o permanenza abusive all interno di un sistema informatico. L aggettivo abusive implica l illegittimità dell accesso o della permanenza da parte del soggetto agente. Ne consegue che il reato può ritenersi integrato anche nell ipotesi in cui il soggetto abilitato all accesso al sistema violi i limiti e le condizioni delle autorizzazioni concesse dal titolare del sistema. L elemento soggettivo richiesto è il dolo generico consistente nella coscienza e volontà di accedere o permanere abusivamente all interno di un sistema informatico. Danneggiamento di informazioni, dati e programmi informatici (art. 635 bis c.p.) [1] Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. [2] Se ricorre la circostanza di cui al numero 1) del secondo comma dell'articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d'ufficio. Si tratta di una fattispecie residuale, che punisce le condotte di distruzione, deterioramento, cancellazione o soppressione di informazioni, dati o programmi contenuti su di un supporto informatico. In particolare, si è ritenuto di considerare danneggiamento anche la cancellazione, alterazione o soppressione di informazioni dati e programmi, anche se rimediabili con un intervento di recupero che non sia comunque reintegrativo dell'originaria configurazione dell'ambiente di lavoro. L elemento soggettivo richiesto è il dolo generico. Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635 ter c.p.) [1] Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. [2] Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l'alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni. [3] Se ricorre la circostanza di cui al numero 1) del secondo comma dell'articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata. 5/11

Si tratta di un reato di pericolo e sussidiario che punisce le condotte dirette alla distruzione, deterioramento, cancellazione, alterazione o soppressione di informazioni, dati o programmi informatici che siano utilizzati dallo Stato. La caratteristica rispetto al reato esaminato in precedenza è, dunque, quella della pubblicità dell informazione, programma o dato informatico, nel senso che deve trattarsi di dati utilizzati dallo Stato o altro ente pubblico ovvero caratterizzati dalla loro valenza di pubblica utilità. Per la configurabilità del reato è sufficiente che la condotta dell agente sia volta a danneggiare, non essendo necessario che questo sia effettivo. L eventuale evento dannoso costituisce, infatti, un ipotesi aggravata del medesimo reato. Danneggiamento di sistemi informatici o telematici (art. 635 quater c.p.) [1] Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all'articolo 635-bis, ovvero attraverso l'introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni. [2] Se ricorre la circostanza di cui al numero 1) del secondo comma dell'articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata. Si tratta di una fattispecie residuale che punisce le condotte di distruzione e danneggiamento, se attuate con le modalità già descritte dall art. 635 bis ovvero mediante l introduzione o la trasmissione di dati, su sistemi informatici o telematici. Per la configurabilità della fattispecie è necessaria la verificazione dell evento, nel senso che pur essendo sufficiente una mera alterazione del sistema, questa deve esser stata idonea a rendere il sistema in tutto o in parte inservibile ovvero ostacolandone gravemente il funzionamento. Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635 quinquies c.p.) [1] Se il fatto di cui all'articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni. [2] Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni. [3] Se ricorre la circostanza di cui al numero 1) del secondo comma dell'articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata. La fattispecie punisce le medesime condotte di distruzione o danneggiamento di sistemi informatici o telematici che li rendano inservibili o ne alterino 6/11

gravemente il funzionamento, qualora questi possiedano il carattere della pubblica utilità. 3. I PROCESSI SENSIBILI Nell ambito delle attività svolte da ACAM Ambiente S.p.A., l unico processo sensibile attinente i reati informatici è rappresentato dalla gestione informatica. Si tratta di un processo adeguatamente formalizzato, in considerazione della presenza di adeguati presidi e dovrà essere periodicamente sottoposto a monitoraggio da parte dell Organismo di Vigilanza. 7/11

4. I PRINCIPI GENERALI DI COMPORTAMENTO Nell ambito della presente sezione della Parte Speciale vengono riportati i principi di comportamento che si richiede vengano adottati da parte di tutto il personale aziendale nell utilizzo delle informazioni, dati, programmi e sistemi informatici. Tali regole di condotta sono finalizzate a limitare il più possibile il verificarsi dei reati previsti nel Decreto. I principi di comportamento si applicano direttamente agli amministratori, dirigenti e dipendenti di ACAM Ambiente, mentre si applicano ai consulenti ed ai partner esclusivamente in forza di specifiche clausole contrattuali. La presente Parte Speciale prevede l espresso divieto di: a) accedere senza autorizzazione a dati, informazioni o programmi contenuti in sistemi informatici; b) inserire all interno di sistemi informatici dati non corretti e/o non veritieri; c) modificare, in assenza di autorizzazione, i dati inseriti e registrati sui sistemi informatici aziendali; d) alterare o falsificare documenti informatici di qualsiasi natura; e) installare sui computer aziendali programmi o software non autorizzati; f) danneggiare o anche solo alterare il funzionamento del sistema informatico, nonché i dati, le informazioni e i programmi ad esso pertinenti; g) porre in essere, collaborare o dare causa alla realizzazione di comportamenti tali che, presi individualmente o collettivamente, integrino, direttamente o indirettamente, le fattispecie di reato previste di cui alla presente Parte Speciale. Nell ambito dei suddetti comportamenti è fatto obbligo di: operare nel rispetto della normativa vigente, delle regole stabilite dal Modello Organizzativo e dalla presente Parte Speciale, del Codice Etico e delle altre norme interne aziendali, mantenendosi aggiornati sull evoluzione normativa; agire sui sistemi informatici, nonché sui dati, programmi e software nei limiti delle mansioni ed autorizzazioni attribuiti, inserendo informazioni corrette e 8/11

veritiere; assicurare la protezione dei dati e dei sistemi con chiavi di accesso e password; assicurare la massima protezione e riservatezza nell utilizzo dei dispositivi che assegnano poteri di firma ai documenti informatici, in piena coerenza con le deleghe o le procure che sono state assegnate al soggetto stesso; segnalare al proprio responsabile tutte le violazioni rilevate o presunte inerenti la sicurezza del patrimonio informatico e telematico. Ai fini dell attuazione dei comportamenti di cui sopra: 1. assicurare che l accesso ai programmi sia protetto da sistemi di password che consentano la profilatura dell utente e l assegnazione delle abilitazioni sulla base alle mansioni attribuite; 2. assicurare che la creazione di nuovi profili sia eseguita esclusivamente in presenza di richiesta inoltrata all area servizi informativi da parte del responsabile del servizio mediante il sistema di trouble ticketing; 3. assicurare che la modifica delle abilitazioni dei singoli utenti sia eseguita esclusivamente in seguito a specifica richiesta presentata attraverso il sistema di trouble ticketing, che assicura il preventivo controllo e l approvazione del responsabile del soggetto cui le abilitazioni si riferiscono; 4. assicurare che i sistemi informatici garantiscano la tracciabilità delle operazioni effettuate e che consentano di individuare l autore di eventuali modifiche apportate a dati e informazioni; 5. assicurare, con cadenza annuale, la revisione periodica delle matrici riepilogative della profilatura degli utenti e delle loro abilitazioni, al fine di verificare la corrispondenza tra le abilitazioni all accesso e modifica sui sistemi informatici aziendali e le mansioni effettivamente svolte; 6. assicurare la tracciabilità degli accessi effettuati da parte degli amministratori di sistema e delle modifiche dagli stessi eventualmente apportate; 7. assicurare che i database contenenti i dati necessari per la fatturazione siano protetti da un meccanismo di profilatura che consenta l accesso esclusivamente ai soggetti abilitati e che siano sottoposti a back up periodico; 8. assicurare i sistemi informatici impiegati per le attività di fatturazione consentano la tracciabilità delle operazioni effettuate; 9. assicurare ai clienti la possibilità di verificare i dati di fatturazione, le fatture 9/11

ed i pagamenti effettuati mediante un sistema telematico; 10. assicurare che il sistema di pagamento online sia conforme agli standard di sicurezza previsti dal sistema bancario e garantisca adeguata sicurezza dei dati e delle informazioni inserite d ai clienti e dei sistemi informatici da loro impiegati; 11. assicurare che i sistemi informativi siano sottoposti quotidianamente a procedure di backup incrementali; 12. assicurare che la server farm risulti inaccessibile da parte di soggetti non autorizzati. Si suggerisce di attivare dei sistemi che impediscano l installazione di software in grado di modificare o alterare dati, informazioni, programmi o sistemi informatici sui computer portatili, nonché di prevedere dei controlli, quantomeno periodici, sugli amministratori di sistema, al fine di verificare l assenza di comportamenti illegittimi sui dati e sul sistema. 10/11

5. I CONTROLLI DELL ORGANISMO DI VIGILANZA L Organismo di Vigilanza effettua periodicamente controlli a campione sulle attività connesse al «processo sensibile» al fine di verificare la corretta esplicazione delle stesse in relazione alle regole contenute nel presente Modello. A tal fine, all Organismo, che può attivarsi con specifici controlli a seguito delle segnalazioni ricevute, viene garantito libero accesso a tutta la documentazione aziendale rilevante così come previsto nella Parte Generale del Modello Organizzativo, nonché con controlli a campione che consentano di verificare il rispetto dei meccanismi autorizzativi di accesso e/o eventuali anomalie in materia di modifica dei dati. 11/11

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back