1 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE CARTE DI CREDITO ALLA LUCE DEL NOVELLATO D.LGS 231/2001 GRC. F.



Documenti analoghi
La responsabilità amministrativa degli enti si estende ai delitti in materia di trattamento dei dati personali. Novità introdotte dal D.l. n. 93/2013.

INCONTRO SUL TEMA: D. LGS. N. 81/2008, ART. 300

DECRETO LEGISLATIVO 231/01

IL D.L. 93/2013: L IMPATTO IN AMBITO DI RESPONSABILITA AMMINISTRATIVA DELLE PERSONE GIURIDICHE. (Avv. Andrea Milani)

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

REATI NEI RAPPORTI CON LA PUBBLICA AMMINISTRAZIONE

La responsabilità penale dell amministratore e del legale rappresentante di una società

ICT SECURITY N. 52 Gennaio/Febbraio 2007 Sicurezza informatica e responsabilità amministrativa degli enti. Autore: Daniela Rocca

Corporate Law Alert AGGIORNAMENTO NORMATIVO: I NUOVI REATI PRESUPPOSTO EX D.LGS. 231/2001

IL VICEDIRETTORE dell Agenzia delle Dogane e dei Monopoli

RISOLUZIONE N. 81/E. Direzione Centrale Normativa Roma, 25 settembre 2015

Modelli ex d.lgs. 231/01 e Modelli di prevenzione della corruzione ex L. 190/2012. Massimo Malena & Associati 20 maggio 2015

Il D.lgs. 231/2007 in materia di antiriciclaggio, tra novità legislative, ruolo degli Organi e delle Autorità di Vigilanza ed impianto sanzionatorio

Studio legale Avv. Paolo Savoldi Bergamo, Via Verdi, 14. SEMINARIO C.S.E. s.r.l IL TRASFERIMENTO DEL RISCHIO

Il monitoraggio fiscale

Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001

Trasmesso dal Presidente della Camera dei deputati alla Presidenza il 18 ottobre 2013

Circolare n.9 / 2010 del 13 ottobre 2010 CONTROLLO SUL LAVORO E PRIVACY: LE ULTIME NOVITA

PARTE SPECIALE Sezione II. Reati informatici

Avv. Carlo Autru Ryolo

vicies semel, del decreto legge 13 agosto 2011, n. 138, convertito con modificazioni,

REV. 2015/00 Pag. 1 di 5

Nomina RLS Rappresentante dei lavoratori per la sicurezza

LA RESPONSABILITA DEGLI ENTI E DELLE SOCIETA EX D. LGS. 231/ aprile 2009

rendiconto circa la destinazione delle quote del 5 per mille

Sezione Reati ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita

REGOLAMENTO INTERNO PER LA GESTIONE E LA COMUNICAZIONE ALL ESTERNO DI INFORMAZIONI RISERVATE E PRIVILEGIATE

PROGRAMMA TRIENNALE PER LA TRASPARENZA E INTEGRITA ANNO

Informativa n. 38. La manovra di Ferragosto ( DL n. 138 convertito nella L n. 148) - Novità in materia di reati tributari INDICE

ANTIRICICLAGGIO Modalità operative per le sale bingo

Roma,28 dicembre 2007

L amministratore di sistema. di Michele Iaselli

Applicazione del Testo Unico sulla Privacy: Responsabilità e sistema sanzionario Pagina 1 di 8. a cura di. Data Ufficio E-learning

Circolare N.35 del 7 Marzo 2014

Modifiche al decreto legislativo 8 giugno 2001, n. 231

Nota di approfondimento

Corso di formazione Il ruolo e l adeguatezza dei modelli organizzativi previsti D. Lgs 231/2001. Presentazione

S E A V OGGETTO: FT. ELETTRONICA PUBBLICA AMMINISTRAZIONE

XVI LEGISLATURA CAMERA DEI DEPUTATI

CAMERA DEI DEPUTATI PROPOSTA DI LEGGE COMINARDI, LOMBARDI, DI BATTISTA, TRIPIEDI, CIPRINI, CHIMIENTI, BALDASSARRE, BARONI

IL RETTORE. VISTO lo Statuto di autonomia dell Università del Salento ed in particolare l art. 29;

IL MINISTRO DELL ECONOMIA E DELLE FINANZE

DECRETO LEGISLATIVO 15 novembre 2012, n. 218

Dlgs D.lgs. 231/01. e Modelli di organizzazione, gestione e controllo

LIBRO SECONDO. Dei delitti in particolare TITOLO III. Dei delitti contro l'amministrazione della giustizia CAPO III

Federico Minio Puntoced s.a.s. Dottore Commercialista di Cambi Laura & c.

FEDERAZIONE AUTONOMA BANCARI ITALIANI

CITTÀ DI AGROPOLI. Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente

CIRCOLARE N. 2/E. Roma, 1 marzo Prot. n.

VISTO l articolo 87, quinto comma, della Costituzione; VISTO il decreto del Presidente della Repubblica 11 luglio 1980, n. 753, contenente nuove

Codice Penale art. 437

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

SCHEMA DI REGOLAMENTO DI ATTUAZIONE DELL ARTICOLO 23 DELLA LEGGE N

Presidenza del Consiglio dei Ministri

Al Presidente del Collegio Geometri e Geometri laureati della Provincia di xxx. Al Responsabile dell Area Governo del Territorio del Comune di xxx

DECRETO LEGISLATIVO 2 marzo 2012, n. 24. Attuazione della direttiva 2008/104/CE, relativa al lavoro tramite agenzia interinale.

PROTOCOLLO DI INTESA RELATIVO AI RAPPORTI DI COLLABORAZIONE TRA L AUTORITÀ PER L ENERGIA ELETTRICA E IL GAS E LA GUARDIA DI FINANZA

Comune di Falconara Marittima (Provincia di Ancona)

L adempimento della notificazione al Garante per la Privacy

ECONOMIA E LEGISLAZIONE ANTIRICICLAGGIO. In sigla Master 42

Regolamento sui limiti al cumulo degli incarichi ricoperti dagli Amministratori del Gruppo Banco Popolare

Subappalto necessario e soccorso istruttorio alla luce del d.l. n.90/

RISOLUZIONE N. 337/E

Approvato dal Consiglio di Amministrazione del 25 maggio 2012

La recente normativa in tema di data retention

visto il trattato che istituisce la Comunità europea, in particolare l articolo 93, vista la proposta della Commissione,

Protocollo D.Lgs. 231/2001 n. 11. Gestione ed elaborazione della contabilità e del bilancio di esercizio

MINISTERO DELL'ECONOMIA E DELLE FINANZE

CIRCOLARE N. 19/E. OGGETTO: Aumento dell aliquota dell imposta sostitutiva sui finanziamenti di cui al decreto legge 12 luglio 2004, n. 168.

RISOLUZIONE N. 98/E. Direzione Centrale Normativa Roma, 25/11/2015

QUESITO SOLUZIONE INTERPRETATIVA PROSPETTATA DAL CONTRIBUENTE

Risoluzione n. 150/E. Roma, 9 luglio 2003

Associazione Comunità IL GABBIANO ONLUS

IL CONSIGLIO COMUNALE

Modifiche al codice penale ex legge 190/2012

DOCUMENTO DI CONSULTAZIONE N. 9/2015

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Vigilanza bancaria e finanziaria

in qualità di Emittente e Responsabile del Collocamento

RISOLUZIONE N. 20/E. Roma, 28 marzo 2013

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

MANUALE DELLA QUALITÀ Pag. 1 di 6

SCIA e autorizzazione paesaggistica per l'installazione di condizionatori e climatizzatori

Il Ministro dello Sviluppo Economico

TECNOLOGIE DIESEL E SISTEMI FRENANTI S.P.A. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N.

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

Agli Uffici delle dogane TUTTI

5 per mille al volontariato 2007

CIRCOLARE N.22/E. Roma, 11 luglio 2014

Roma, 19 novembre 2014

REATI PENALI SPECIFICI PER LE SOCIETA QUOTATE IN BORSA. Hanno contribuito

RISOLUZIONE N. 211/E

CORSO ANTIRICICLAGGIO 2013

SENATO. 6 Commissione (Finanze) 5 novembre 2008 TESTO UNIFICATO PROPOSTO DALLA RELATRICE SUI DISEGNI DI LEGGE N. 414 E N. 507

News per i Clienti dello studio

DOCUMENTO INFORMATICO E FIRME ELETTRONICHE, PAGAMENTI, LIBRI E SCRITTURE

Notiziario settimanale giugno Indirizzi e invio di pubblicità. Documento dei Garanti UE sul nuovo software Microsoft

Approvazione CDA del 25 giugno Limiti al cumulo di incarichi ricoperti dagli amministratori di Unipol Gruppo Finanziario S.p.A.

Circolare Informativa n 30/2013. Collocamento obbligatorio e Riforma del lavoro

ANTIRICICLAGGIO.

Transcript:

1 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE GRC Rivista di Governance, Risk Management and Compliance COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE CARTE DI CREDITO ALLA LUCE DEL NOVELLATO D.LGS 231/2001 Novità introdotte al d.lgs. 231/2001 con Decreto Legge n. 93, Gazzetta Ufficiale n. 191 del 16 agosto 2013 F. Fotino EDITORIALE Roma, 30 Agosto 2013 CERTIFICATION INSTITUTE ENTERPRISE RI SKMANAGEMENT

2 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Premessa Il documento che segue è strutturato in un unica sezione e ha l obiettivo di fornire una breve descrizione delle novità introdotte in materia di responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica (di cui al decreto legislativo 8 giugno 2001, n. 231), con Decreto Legge 14 agosto 2013, n. 93 (di seguito D.L. 93/2013 ) recante Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province, pubblicato in Gazzetta Ufficiale ( G.U. ) n. 191 del 16 agosto 2013 e in vigore dal 17 agosto). Il decreto suddetto dovrebbe, inoltre, essere convertito in legge entro il 15 ottobre 2013. Il Decreto in parola, pur apparendo orientato a materie tutt affatto diverse da quelle che qui ci occupano, in realtà le innova profondamente. Il lavoro che segue, quindi, analizzerà le disposizioni normative e la portata operativa della responsabilità amministrativa da reato per i delitti sulla privacy, la frode informatica con sostituzione dell'identità digitale e l'indebito utilizzo e falsificazione di carte di credito.

3 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE La responsabilità amministrativa da reato per i delitti sulla privacy, la frode informatica e la contraffazione di carte di credito

4 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Cosa stabilisce l art. 9 del D.L. 93/2013 L Art. 9 del D.L. 93/2013 - Frode informatica commessa con sostituzione d'identità digitale recita testualmente: 1. All'articolo 640-ter del codice penale, sono apportate le seguenti modificazioni: a) dopo il secondo comma, è inserito il seguente: "La pena e' della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto e' commesso con sostituzione dell'identità digitale in danno di uno o più soggetti."; b) all'ultimo comma, dopo le parole "di cui al secondo" sono inserite le seguenti: "e terzo". 2. All'articolo 24-bis, comma 1, del decreto legislativo 8 giugno 2001, n. 231, le parole "e 635-quinquies" sono sostituite dalle seguenti: ", 635-quinquies e 640-ter, terzo comma," e dopo le parole: "codice penale" sono aggiunte le seguenti: "nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196.". 3. Al decreto legislativo 13 agosto 2010, n. 141, sono apportate le seguenti modificazioni: a) all'articolo 30-ter, dopo il comma 7, e' inserito il seguente: "7-bis. Fatto salvo quanto previsto dal comma 7, nell'ambito dello svolgimento della propria specifica attività, gli aderenti possono inviare all'ente gestore richieste di verifica dell'autenticità dei dati contenuti nella documentazione fornita dalle persone fisiche nei casi in cui ritengono utile, sulla base della valutazione degli elementi acquisiti, accertare l'identità delle medesime."; b) all'articolo 30-sexies, dopo il comma 2, e' aggiunto il seguente: "3. Con decreto del Ministro dell'economia e delle finanze, sentito il parere del gruppo di lavoro, può essere rideterminata la misura delle componenti del contributo di cui al comma 2.".

5 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE L art. 9 del recente D.L. 93/2013 1, c.d. decreto sul femminicidio reca pertanto importanti integrazioni al D.lgs. 231/2011 in materia di responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica. In particolare, il comma 2 del citato art. 9 integra l art. 24-bis del d.lgs. 231/2001 con il richiamo ai delitti previsti dal Codice per la protezione dei dati personali (D. Lgs. 196/03, cosiddetto Codice sulla privacy ). Il nuovo articolo 24-bis prevede, infatti, la responsabilità amministrativa da reato anche per i delitti sulla privacy, la frode informatica e l'indebito utilizzo e falsificazione di carte di credito. La norma ha introdotto, inoltre, una nuova aggravante ad effetto speciale del delitto di frode informatica 2 (di cui all art. 640 ter c.p.) nel caso in cui il reato venga commesso con sostituzione dell identità digitale in danno di terzi. Peraltro, tale delitto viene richiamato non soltanto nel già citato art. 24-bis - che concerne specificatamente i reati informatici - ma anche nell art. 24 del medesimo d.lgs. 231/2001 - avente ad oggetto i reati di truffa e indebita percezione di finanziamenti pubblici. La distinzione, novellata nel decreto, tra i due reati di Frode informatica e Truffa risulta coerente con certa dottrina che sottolinea l autonoma dei due atti criminosi; sicché il delitto di Frode informatica (art. 640-ter c.p.) non costituirebbe una fattispecie speciale rispetto a quella di Truffa (art. 640 c.p.) ma piuttosto andrebbe considerata come un autonoma ipotesi di reato. D altra parte, è evidente che le due fattispecie di reato in commento presentano indubbi elementi in comune, quanto in particolare agli eventi di ingiusto profitto e danno altrui, nonché 1 In G.U. n. 191 del 16 agosto 2013 e in vigore dal 17 agosto. 2 Il delitto di Frode informatica, disciplinato dal libro II, titolo XIII, art. 640 ter c.p., è stato introdotto dalla legge n. 547 del 1993, assieme a una ventina (circa) di reati c.d. informatici. Al riguardo, si è ormai soliti parlare di reati informatici (o computer crimes) per indicare quegli illeciti penali caratterizzati dall utilizzo della tecnologia informatica (e, in particolare, dei sistemi informatici o telematici), quale oggetto materiale del reato ovvero quale mezzo per la sua commissione.

6 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE alla disciplina delle circostanze aggravanti (posto che il secondo comma dell'art 640-ter c.p., opera un rinvio espresso alle circostanze previste dal n. 1 dell'art. 640 c.p.). In linea con tale interpretazione anche le pronunce della Corte di Cassazione. Si cita, ad esempio, la I Sezione penale della Corte di Cassazione che, con sentenza n. 17748/11 ha affermato che è (omissis) indubbio (omissis) che la fattispecie di cui all art. 640-ter integri senz atro un autonoma figura di reato, a differenza di quanto si è invece ritenuto in giurisprudenza a proposito della ipotesi di truffa aggravata per il conseguimento di erogazioni pubbliche, prevista dall art. 640-bis cod. pen., ormai pacificamente ricondotta nel novero delle circostanze aggravanti rispetto al reato base di truffa ex art 640 cod. pen. (Cass., Sez. un., 26 giugno 2002, P.G. in Proc. Fedi) Ciò anche in considerazione della struttura della fattispecie della Frode informatica che prevede due condotte alternative: la prima, di alterazione in qualsiasi modo del funzionamento di un sistema informatico o telematico; mentre, la seconda, di intervento senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti. In presenza della fattispecie di frode informatica aggravata dalla sostituzione dell identità digitale in danno di terzi, la pena prevista è la reclusione da due a sei anni, mentre è prevista sanzione pecuniaria da 600 a 3.000 euro di multa. Oltre ai delitti in materia di frode informatica, il citato art. 9 D.L. 93/2013 aggiunge al novero dei c.d. reati presupposto, novellati dal d.lgs. 231/2001, i reati connessi all'indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento (di cui all art. 55 comma 9 del d.lgs. 231/2007 3 ), 3 Articolo 55 comma 9 del Decreto Legislativo 231 del 21 novembre 2007 (c.d. Legge Antiriciclaggio): Chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, e' punito con la

7 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE nonché i delitti (ma non le contravvenzioni) in materia di violazione della privacy previsti dal d.lgs. 196/2003, e cioè le fattispecie di trattamento illecito dei dati (art. 168 del Codice della Privacy), falsità nelle dichiarazioni notificazioni al Garante (art. 169 del Codice della Privacy) e inosservanza dei provvedimenti del Garante (art. 170 del Codice della Privacy). A tale riguardo, sotto il profilo sanzionatorio, va rilevato che, per i soli delitti in materia di privacy, sono previste anche alcune sanzioni interdittive quali ad esempio: l interdizione dall esercizio dell attività; la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell illecito; il divieto di pubblicizzare beni o servizi. La norma prevede inoltre che, nel caso in cui non siano adottati modelli preventivi ovvero siano predisposti in modo inadeguato, e qualora soggetti apicali dell'impresa - ovvero soggetti sottoposti alla direzione o vigilanza dei soggetti apicali - dovessero commettere uno dei delitti previsti in materia di privacy, la società medesima sarà soggetta ad una sanzione da 100 a 500 quote (ove una singola quota può ammontare da un minimo di 258 fino a un massimo di 1.549 euro). Così determinandosi una sanzione pecuniarie fino ad euro 774.500 euro. reclusione da uno a cinque anni e con la multa da 310 a 1.550 euro. Alla stessa pena soggiace chi, al fine di trarne profitto per sé o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi.

8 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Rilevanza in sede applicativa degli aggiornamenti introdotti in materia di privacy Come sottolineato dalla stessa Cassazione 4, l impatto operativo dell ampliamento del catalogo dei reati, introdotto con recente D.L. 93/2013, risulta potenzialmente di grande rilevanza, soprattutto per quanto concerne i delitti in materia di violazione della privacy e, tra questi, l illecito trattamento dei dati. Nell'ottica del d.lgs. 231/01, l'azienda titolare del trattamento di dati (per essere ritenuta incolpevole), dovrà dimostrare di avere messo in campo tutte le misure di prevenzione idonee a evitare la commissione dei tre delitti privacy che sono indicati nel decreto 93/2013. L'azienda dovrà inoltre, dimostrare di avere efficacemente adottato un modello di organizzazione e gestione idoneo. A tal fine, deve avere effettivamente promosso, in modo sistemico e dinamico, una buona organizzazione per la tutela dei dati e per la prevenzione dei reati in materia di privacy. Il modello dovrà, inoltre, essere progettato sulla base delle risultanza di un analisi e mappatura delle aree di rischio con riguardo ai reati sulla privacy, con l obiettivo di individuare, al contempo, le misure idonee a prevenirli. Le violazioni in materia di privacy risultano potenzialmente in grado di interessare l intera platea delle società commerciali e delle associazioni private soggette alle disposizioni di cui al d.lgs. n. 231/2001. Tra queste spiccano, ad esempio, le società e associazioni operanti in ambito sanitario, considerata sia la portata sia la sensibilità dei dati da queste trattati. Le attività erogate dalle strutture di tipo sanitario richiedono, infatti, la costante acquisizione, conservazione, trattamento, 4 Si veda Corte di Cassazione, Relazione n III/0 del 22 agosto 2013.

9 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE comunicazione e diffusione - anche attraverso sistemi informatici o telematici - di notizie, documenti ed altri dati attinenti a negoziazioni, procedimenti amministrativi, operazioni finanziarie, know how, etc. Inoltre, le banche-dati delle Aziende sanitarie possono contenere, anche su supporti informatici o telematici: o dati personali protetti dalla normativa a tutela della privacy; o dati che, per accordi negoziali, non possono essere resi noti all'esterno; o dati la cui divulgazione inopportuna o intempestiva potrebbe produrre danni agli interessi aziendali. Chiaramente, tutte le attività inerenti al trattamento - anche attraverso sistemi informatici o telematici - di dati personali o riservati dovranno essere gestite nella più stretta osservanza delle disposizioni normative vigenti in materia. Da qui, l importanza di predisporre ovvero prontamente adeguare i Modelli organizzativi di gestione e controllo 231 (di seguito MOG231 ) che siano stati o che si intenda implementare a livello di singolo ente. I modelli dovranno prevedere opportuna analisi, gestione e controllo delle fattispecie di reato attinenti alla materia della privacy, anche in virtù del principio di esigibilità dell immediato adeguamento dei Modelli alle novelle legislative di ampliamento dei reati presupposto, già evidenziato in sede giurisprudenziale 5. 5 Si veda in materia la Sentenza del Tribunale di Novara, 1.10.2010, G.u.p. Pezone, il breve arco temporale pari a circa due mesi, intercorso tra l entrata in vigore della normativa contestata e la commissione del fatto reato, non comporta in sé l inesigibilità della condotta. [...] La mancanza di una disciplina transitoria, ovvero di un termine a cui ancorare la decorrenza degli effetti della nuova disciplina sanzionatoria, comporta che era obbligo

10 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Occorrerà, in particolare, inserire le nuove ipotesi di reato all interno del catalogo dei reati presupposto dei MOG231, procedere alla valutazione e mappatura dei rischi di commissione dei reati in oggetto, al fine di individuare le principali aree di rischio, introdurre apposite procedure di prevenzione e controllo. Si dovranno, ad esempio, prevede procedure atte ad assicurare il corretto assetto organizzativo e gestionale in ordine al trattamento dei dati personali, con particolare riferimento alla designazione del responsabile del trattamento. Al contempo, le suddette procedure dovranno essere in grado di assicurare la riservatezza richiesta dalle circostanze per ciascuna notizia appresa in ragione delle diverse funzioni lavorative. Sarà importante integrare il sistema delle segnalazioni interne di eventuali violazioni con gli ultimi aggiornamenti in materia di privacy, al contempo assicurando adeguati flussi informativi tra il Responsabile della Privacy e l Organismo di Vigilanza ( OdV ) dell ente. Non da ultimo, l adeguamento del modello alle più recenti disposizioni normative e regolamentari dovrà prevedere relative azioni implementative, ivi incluse opportune comunicazioni interne, attività di formazione e gestione dei flussi informativi. Vale la pena evidenziare che non tutti i reati relativi alla privacy rappresentano il presupposto della responsabilità 231, infatti il D.L. 93 richiama solo i delitti, ovvero il trattamento illecito di dati, la falsità nelle dichiarazioni o notificazioni al Garante, l'inosservanza di provvedimenti del Garante. immediato per le società, adottare ed attuare i modelli di organizzazione e gestione idonei a prevenire incidenti sul lavoro del tipo di quello poi verificatosi.

11 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Con riguardo a caso di inosservanza dei provvedimenti del Garante, vi sarà responsabilità 231 da parte dell'azienda che ometta di adempiere a un provvedimento dell'authority che, ad esempio, abbia disposto il blocco di uno o più trattamenti o abbia prescritto misure necessarie a rendere il trattamento conforme. L azienda non si potrà, dunque, limitare all adozione di procedure e atteggiamenti meramente formali, ma sarà altresì necessario progettare ed adottare modelli organizzativi che tengano conto dell'intero flusso dei dati trattati, nonché del loro utilizzo e custodia anche tramite enti terzi, garantendo un livello di sicurezza adeguata, nonché la conformità rispetto alle finalità per cui l'informazione è stata raccolta.

12 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Rilevanza in sede applicativa degli aggiornamenti introdotti in materia di frode informatica e contraffazione carte di credito La Corte di Cassazione 6 ha evidenziato la portata più limitata, rispetto al tema della privacy, degli aggiornamenti in materia di frode informatica e contraffazione di carte di credito, che non paiono destinati ad assumere grande rilevanza in sede applicativa. Cionondimeno, si ritiene utile precisare che l opportunità di prevedere idonei aggiornamenti e procedure per tali tipologie di reati dovrà essere valutata su base case by case. Infatti, il reato di frode informatica aggravato dalla sostituzione dell identità digitale (art. 640ter c.p., comma III) e i reati di indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento (art. 55 comma 9 del d.lgs. n. 231/2007) potrebbero comportare livelli elevati di rischio per determinate tipologie di attività. È il caso, ad esempio, del settore del gaming, nell ambito del quale particolare rilevanza assume sia la fattispecie di reato di Frode informatica sia quella di contraffazione delle carte di credito o di pagamento, a maggior ragione visti gli ingenti flussi finanziari movimentati attraverso la rete fisica e on-line da giocatori e operatori di gioco 7. Ne dà un esempio la recente sentenza della II Sezione Penale della Corte di Cassazione, n. 18909 del 30 aprile 2013, nella quale emerge come l alterazione di apparecchi elettronici destinati a giochi di abilità, trasformati in slot machine, integri il reato di 6 Già citata Relazione n III/0 del 22 agosto 2013. 7 Si veda in proposito anche la Comunicazione della Banca d Italia - Unità di Informazione Finanziaria Schemi rappresentativi di comportamenti anomali ai sensi dell'art. 6, comma 7, lett. b) del d.lgs n. 231/2007- operatività connessa con il settore dei giochi e delle scommesse.

13 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE truffa informatica, non essendo, i relativi proventi, tassati con la maggiore imposta del 13,5% che pertiene agli apparecchi dotati di aleatorietà. Al contrario, l appropriazione delle somme giocate alle slot machine ma non contabilizzate e non versate all Erario, integra il reato del peculato. Con tale sentenza, la Corte ha affermato il principio secondo il quale «l elemento distintivo tra il delitto di peculato e quello di frode informatica, aggravata ai danni dello Stato, ai sensi dell'art. 649-ter, secondo comma, c.p., nonché ai sensi dell art. 61, n. 9, c.p., è simile a quello fra il delitto di peculato ed il delitto di truffa aggravata ex art. 61, n. 9, c.p.». Conseguentemente, l'elemento distintivo deve essere individuato con riferimento alle modalità del possesso del denaro o d'altra cosa mobile altrui oggetto di appropriazione, ricorrendo il reato di peculato quando il pubblico ufficiale o l'incaricato di pubblico servizio se ne appropri avendone già il possesso o comunque la disponibilità per ragione del suo ufficio o servizio, e ravvisandosi invece il reato di frode informatica quando il soggetto attivo, non avendo tale possesso, se lo procuri fraudolentemente, facendo ricorso ad artifici o raggiri per procurarsi un ingiusto profitto con altrui danno. Nel caso di specie, la fattispecie di reato di Frode Informatica darebbe adito a responsabilità amministrativa dell ente, a seguito dell introduzione del reato di Frode informatica tra i cosiddetti "reati presupposto, novellati dal d.lgs 231/2001. Quanto detto dà evidenza di come l estensione del novero dei reati presupposto alle due fattispecie di reato della Frode informatica e della Contraffazione di carte di credito possa avere, di fatto, impatti importanti sul sistema organizzativo di gestione e controllo delle società nel settore del gioco e delle scommesse, con relativa esigenza di efficacemente aggiornare e implementare i

14 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE relativi Modelli organizzativi, di controllo e gestione 231, prevedendo idonee procedure per tali reati. In conclusione, il processo di aggiornamento e implementazione dei Modelli 231 dovrà tener conto, di volta in volta, della specificità di ciascun ente (e.g. in termini di struttura organizzativa, attività prestata, flussi informativi, etc.), con l obiettivo di individuare potenziali aree di rischio reato per le nuove fattispecie introdotte con D.L. 93/2013. FEDERICA FOTINO 8 8 AU del CIERM srls. Dott.ssa in Economia, è stata Cunsultant presso PricewaterhouseCoopers Advisory SpA, Full Time Visiting Researcher presso Centre of European Law King s College London, School of Law, e Intern presso l Ambasciata d Italia a Londra. È cultore della materia in Management presso la cattedra di Economia e Gestione della Facoltà Economia dell Università della Sapienza di Roma. e-mail: f.fotino@studiofotino.it

15 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE APPENDICE: Evoluzioni normative a seguito della conversione in legge del D.L. 93/2013 Appendice all GCR aggiunta in data 3 ottobre 2013

16 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Successiva eliminazione del reato in materia di privacy tra i reati presupposto In data 2 ottobre 2013, le Commissioni permanenti I (Affari costituzionali, della Presidenza del Consiglio e interni) e II (Giustizia) alla Camera dei deputati hanno riferito favorevolmente sul testo del disegno di legge n.93 del 14 agosto 13, presentato per il suo recepimento con atto n. 1540. Tuttavia, in occasione della conversione in legge del D.L 93/2013, recante disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province, la Camera dei deputati ha emendato il succitato D.L. mediante, tra l'altro, la soppressione dell'art. 9 comma 2, che aveva previsto l'introduzione dei delitti in materia di Privacy, frode informatica e contraffazione di carte di credito nel novero dei reati presupposto novellati dal D.lgs 231/01, come discusso nel presente editoriale GRC. Ad oggi, tali delitti sono, pertanto, nuovamente esclusi dall ambito di applicazione del d.lgs 231. Le modificazioni apportate dalle commissioni recitano quanto segue: All'articolo 9: al comma 1: alla lettera a), capoverso, la parola: «sostituzione» è sostituita dalle seguenti: «furto o indebito utilizzo»; alla lettera b), le parole: «all'ultimo comma» sono sostituite dalle seguenti: «al terzo comma»; il comma 2 è soppresso; al comma 3, la lettera b) è soppressa. 9 9 Si veda XVII Legislatura Camera Dei Deputati, Conversione in legge del decreto-legge 14 agosto 2013, n. 93, N. 1540-A.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back