1 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE GRC Rivista di Governance, Risk Management and Compliance COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE CARTE DI CREDITO ALLA LUCE DEL NOVELLATO D.LGS 231/2001 Novità introdotte al d.lgs. 231/2001 con Decreto Legge n. 93, Gazzetta Ufficiale n. 191 del 16 agosto 2013 F. Fotino EDITORIALE Roma, 30 Agosto 2013 CERTIFICATION INSTITUTE ENTERPRISE RI SKMANAGEMENT
2 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Premessa Il documento che segue è strutturato in un unica sezione e ha l obiettivo di fornire una breve descrizione delle novità introdotte in materia di responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica (di cui al decreto legislativo 8 giugno 2001, n. 231), con Decreto Legge 14 agosto 2013, n. 93 (di seguito D.L. 93/2013 ) recante Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province, pubblicato in Gazzetta Ufficiale ( G.U. ) n. 191 del 16 agosto 2013 e in vigore dal 17 agosto). Il decreto suddetto dovrebbe, inoltre, essere convertito in legge entro il 15 ottobre 2013. Il Decreto in parola, pur apparendo orientato a materie tutt affatto diverse da quelle che qui ci occupano, in realtà le innova profondamente. Il lavoro che segue, quindi, analizzerà le disposizioni normative e la portata operativa della responsabilità amministrativa da reato per i delitti sulla privacy, la frode informatica con sostituzione dell'identità digitale e l'indebito utilizzo e falsificazione di carte di credito.
3 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE La responsabilità amministrativa da reato per i delitti sulla privacy, la frode informatica e la contraffazione di carte di credito
4 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Cosa stabilisce l art. 9 del D.L. 93/2013 L Art. 9 del D.L. 93/2013 - Frode informatica commessa con sostituzione d'identità digitale recita testualmente: 1. All'articolo 640-ter del codice penale, sono apportate le seguenti modificazioni: a) dopo il secondo comma, è inserito il seguente: "La pena e' della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto e' commesso con sostituzione dell'identità digitale in danno di uno o più soggetti."; b) all'ultimo comma, dopo le parole "di cui al secondo" sono inserite le seguenti: "e terzo". 2. All'articolo 24-bis, comma 1, del decreto legislativo 8 giugno 2001, n. 231, le parole "e 635-quinquies" sono sostituite dalle seguenti: ", 635-quinquies e 640-ter, terzo comma," e dopo le parole: "codice penale" sono aggiunte le seguenti: "nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196.". 3. Al decreto legislativo 13 agosto 2010, n. 141, sono apportate le seguenti modificazioni: a) all'articolo 30-ter, dopo il comma 7, e' inserito il seguente: "7-bis. Fatto salvo quanto previsto dal comma 7, nell'ambito dello svolgimento della propria specifica attività, gli aderenti possono inviare all'ente gestore richieste di verifica dell'autenticità dei dati contenuti nella documentazione fornita dalle persone fisiche nei casi in cui ritengono utile, sulla base della valutazione degli elementi acquisiti, accertare l'identità delle medesime."; b) all'articolo 30-sexies, dopo il comma 2, e' aggiunto il seguente: "3. Con decreto del Ministro dell'economia e delle finanze, sentito il parere del gruppo di lavoro, può essere rideterminata la misura delle componenti del contributo di cui al comma 2.".
5 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE L art. 9 del recente D.L. 93/2013 1, c.d. decreto sul femminicidio reca pertanto importanti integrazioni al D.lgs. 231/2011 in materia di responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica. In particolare, il comma 2 del citato art. 9 integra l art. 24-bis del d.lgs. 231/2001 con il richiamo ai delitti previsti dal Codice per la protezione dei dati personali (D. Lgs. 196/03, cosiddetto Codice sulla privacy ). Il nuovo articolo 24-bis prevede, infatti, la responsabilità amministrativa da reato anche per i delitti sulla privacy, la frode informatica e l'indebito utilizzo e falsificazione di carte di credito. La norma ha introdotto, inoltre, una nuova aggravante ad effetto speciale del delitto di frode informatica 2 (di cui all art. 640 ter c.p.) nel caso in cui il reato venga commesso con sostituzione dell identità digitale in danno di terzi. Peraltro, tale delitto viene richiamato non soltanto nel già citato art. 24-bis - che concerne specificatamente i reati informatici - ma anche nell art. 24 del medesimo d.lgs. 231/2001 - avente ad oggetto i reati di truffa e indebita percezione di finanziamenti pubblici. La distinzione, novellata nel decreto, tra i due reati di Frode informatica e Truffa risulta coerente con certa dottrina che sottolinea l autonoma dei due atti criminosi; sicché il delitto di Frode informatica (art. 640-ter c.p.) non costituirebbe una fattispecie speciale rispetto a quella di Truffa (art. 640 c.p.) ma piuttosto andrebbe considerata come un autonoma ipotesi di reato. D altra parte, è evidente che le due fattispecie di reato in commento presentano indubbi elementi in comune, quanto in particolare agli eventi di ingiusto profitto e danno altrui, nonché 1 In G.U. n. 191 del 16 agosto 2013 e in vigore dal 17 agosto. 2 Il delitto di Frode informatica, disciplinato dal libro II, titolo XIII, art. 640 ter c.p., è stato introdotto dalla legge n. 547 del 1993, assieme a una ventina (circa) di reati c.d. informatici. Al riguardo, si è ormai soliti parlare di reati informatici (o computer crimes) per indicare quegli illeciti penali caratterizzati dall utilizzo della tecnologia informatica (e, in particolare, dei sistemi informatici o telematici), quale oggetto materiale del reato ovvero quale mezzo per la sua commissione.
6 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE alla disciplina delle circostanze aggravanti (posto che il secondo comma dell'art 640-ter c.p., opera un rinvio espresso alle circostanze previste dal n. 1 dell'art. 640 c.p.). In linea con tale interpretazione anche le pronunce della Corte di Cassazione. Si cita, ad esempio, la I Sezione penale della Corte di Cassazione che, con sentenza n. 17748/11 ha affermato che è (omissis) indubbio (omissis) che la fattispecie di cui all art. 640-ter integri senz atro un autonoma figura di reato, a differenza di quanto si è invece ritenuto in giurisprudenza a proposito della ipotesi di truffa aggravata per il conseguimento di erogazioni pubbliche, prevista dall art. 640-bis cod. pen., ormai pacificamente ricondotta nel novero delle circostanze aggravanti rispetto al reato base di truffa ex art 640 cod. pen. (Cass., Sez. un., 26 giugno 2002, P.G. in Proc. Fedi) Ciò anche in considerazione della struttura della fattispecie della Frode informatica che prevede due condotte alternative: la prima, di alterazione in qualsiasi modo del funzionamento di un sistema informatico o telematico; mentre, la seconda, di intervento senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti. In presenza della fattispecie di frode informatica aggravata dalla sostituzione dell identità digitale in danno di terzi, la pena prevista è la reclusione da due a sei anni, mentre è prevista sanzione pecuniaria da 600 a 3.000 euro di multa. Oltre ai delitti in materia di frode informatica, il citato art. 9 D.L. 93/2013 aggiunge al novero dei c.d. reati presupposto, novellati dal d.lgs. 231/2001, i reati connessi all'indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento (di cui all art. 55 comma 9 del d.lgs. 231/2007 3 ), 3 Articolo 55 comma 9 del Decreto Legislativo 231 del 21 novembre 2007 (c.d. Legge Antiriciclaggio): Chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, e' punito con la
7 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE nonché i delitti (ma non le contravvenzioni) in materia di violazione della privacy previsti dal d.lgs. 196/2003, e cioè le fattispecie di trattamento illecito dei dati (art. 168 del Codice della Privacy), falsità nelle dichiarazioni notificazioni al Garante (art. 169 del Codice della Privacy) e inosservanza dei provvedimenti del Garante (art. 170 del Codice della Privacy). A tale riguardo, sotto il profilo sanzionatorio, va rilevato che, per i soli delitti in materia di privacy, sono previste anche alcune sanzioni interdittive quali ad esempio: l interdizione dall esercizio dell attività; la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell illecito; il divieto di pubblicizzare beni o servizi. La norma prevede inoltre che, nel caso in cui non siano adottati modelli preventivi ovvero siano predisposti in modo inadeguato, e qualora soggetti apicali dell'impresa - ovvero soggetti sottoposti alla direzione o vigilanza dei soggetti apicali - dovessero commettere uno dei delitti previsti in materia di privacy, la società medesima sarà soggetta ad una sanzione da 100 a 500 quote (ove una singola quota può ammontare da un minimo di 258 fino a un massimo di 1.549 euro). Così determinandosi una sanzione pecuniarie fino ad euro 774.500 euro. reclusione da uno a cinque anni e con la multa da 310 a 1.550 euro. Alla stessa pena soggiace chi, al fine di trarne profitto per sé o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi.
8 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Rilevanza in sede applicativa degli aggiornamenti introdotti in materia di privacy Come sottolineato dalla stessa Cassazione 4, l impatto operativo dell ampliamento del catalogo dei reati, introdotto con recente D.L. 93/2013, risulta potenzialmente di grande rilevanza, soprattutto per quanto concerne i delitti in materia di violazione della privacy e, tra questi, l illecito trattamento dei dati. Nell'ottica del d.lgs. 231/01, l'azienda titolare del trattamento di dati (per essere ritenuta incolpevole), dovrà dimostrare di avere messo in campo tutte le misure di prevenzione idonee a evitare la commissione dei tre delitti privacy che sono indicati nel decreto 93/2013. L'azienda dovrà inoltre, dimostrare di avere efficacemente adottato un modello di organizzazione e gestione idoneo. A tal fine, deve avere effettivamente promosso, in modo sistemico e dinamico, una buona organizzazione per la tutela dei dati e per la prevenzione dei reati in materia di privacy. Il modello dovrà, inoltre, essere progettato sulla base delle risultanza di un analisi e mappatura delle aree di rischio con riguardo ai reati sulla privacy, con l obiettivo di individuare, al contempo, le misure idonee a prevenirli. Le violazioni in materia di privacy risultano potenzialmente in grado di interessare l intera platea delle società commerciali e delle associazioni private soggette alle disposizioni di cui al d.lgs. n. 231/2001. Tra queste spiccano, ad esempio, le società e associazioni operanti in ambito sanitario, considerata sia la portata sia la sensibilità dei dati da queste trattati. Le attività erogate dalle strutture di tipo sanitario richiedono, infatti, la costante acquisizione, conservazione, trattamento, 4 Si veda Corte di Cassazione, Relazione n III/0 del 22 agosto 2013.
9 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE comunicazione e diffusione - anche attraverso sistemi informatici o telematici - di notizie, documenti ed altri dati attinenti a negoziazioni, procedimenti amministrativi, operazioni finanziarie, know how, etc. Inoltre, le banche-dati delle Aziende sanitarie possono contenere, anche su supporti informatici o telematici: o dati personali protetti dalla normativa a tutela della privacy; o dati che, per accordi negoziali, non possono essere resi noti all'esterno; o dati la cui divulgazione inopportuna o intempestiva potrebbe produrre danni agli interessi aziendali. Chiaramente, tutte le attività inerenti al trattamento - anche attraverso sistemi informatici o telematici - di dati personali o riservati dovranno essere gestite nella più stretta osservanza delle disposizioni normative vigenti in materia. Da qui, l importanza di predisporre ovvero prontamente adeguare i Modelli organizzativi di gestione e controllo 231 (di seguito MOG231 ) che siano stati o che si intenda implementare a livello di singolo ente. I modelli dovranno prevedere opportuna analisi, gestione e controllo delle fattispecie di reato attinenti alla materia della privacy, anche in virtù del principio di esigibilità dell immediato adeguamento dei Modelli alle novelle legislative di ampliamento dei reati presupposto, già evidenziato in sede giurisprudenziale 5. 5 Si veda in materia la Sentenza del Tribunale di Novara, 1.10.2010, G.u.p. Pezone, il breve arco temporale pari a circa due mesi, intercorso tra l entrata in vigore della normativa contestata e la commissione del fatto reato, non comporta in sé l inesigibilità della condotta. [...] La mancanza di una disciplina transitoria, ovvero di un termine a cui ancorare la decorrenza degli effetti della nuova disciplina sanzionatoria, comporta che era obbligo
10 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Occorrerà, in particolare, inserire le nuove ipotesi di reato all interno del catalogo dei reati presupposto dei MOG231, procedere alla valutazione e mappatura dei rischi di commissione dei reati in oggetto, al fine di individuare le principali aree di rischio, introdurre apposite procedure di prevenzione e controllo. Si dovranno, ad esempio, prevede procedure atte ad assicurare il corretto assetto organizzativo e gestionale in ordine al trattamento dei dati personali, con particolare riferimento alla designazione del responsabile del trattamento. Al contempo, le suddette procedure dovranno essere in grado di assicurare la riservatezza richiesta dalle circostanze per ciascuna notizia appresa in ragione delle diverse funzioni lavorative. Sarà importante integrare il sistema delle segnalazioni interne di eventuali violazioni con gli ultimi aggiornamenti in materia di privacy, al contempo assicurando adeguati flussi informativi tra il Responsabile della Privacy e l Organismo di Vigilanza ( OdV ) dell ente. Non da ultimo, l adeguamento del modello alle più recenti disposizioni normative e regolamentari dovrà prevedere relative azioni implementative, ivi incluse opportune comunicazioni interne, attività di formazione e gestione dei flussi informativi. Vale la pena evidenziare che non tutti i reati relativi alla privacy rappresentano il presupposto della responsabilità 231, infatti il D.L. 93 richiama solo i delitti, ovvero il trattamento illecito di dati, la falsità nelle dichiarazioni o notificazioni al Garante, l'inosservanza di provvedimenti del Garante. immediato per le società, adottare ed attuare i modelli di organizzazione e gestione idonei a prevenire incidenti sul lavoro del tipo di quello poi verificatosi.
11 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Con riguardo a caso di inosservanza dei provvedimenti del Garante, vi sarà responsabilità 231 da parte dell'azienda che ometta di adempiere a un provvedimento dell'authority che, ad esempio, abbia disposto il blocco di uno o più trattamenti o abbia prescritto misure necessarie a rendere il trattamento conforme. L azienda non si potrà, dunque, limitare all adozione di procedure e atteggiamenti meramente formali, ma sarà altresì necessario progettare ed adottare modelli organizzativi che tengano conto dell'intero flusso dei dati trattati, nonché del loro utilizzo e custodia anche tramite enti terzi, garantendo un livello di sicurezza adeguata, nonché la conformità rispetto alle finalità per cui l'informazione è stata raccolta.
12 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Rilevanza in sede applicativa degli aggiornamenti introdotti in materia di frode informatica e contraffazione carte di credito La Corte di Cassazione 6 ha evidenziato la portata più limitata, rispetto al tema della privacy, degli aggiornamenti in materia di frode informatica e contraffazione di carte di credito, che non paiono destinati ad assumere grande rilevanza in sede applicativa. Cionondimeno, si ritiene utile precisare che l opportunità di prevedere idonei aggiornamenti e procedure per tali tipologie di reati dovrà essere valutata su base case by case. Infatti, il reato di frode informatica aggravato dalla sostituzione dell identità digitale (art. 640ter c.p., comma III) e i reati di indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento (art. 55 comma 9 del d.lgs. n. 231/2007) potrebbero comportare livelli elevati di rischio per determinate tipologie di attività. È il caso, ad esempio, del settore del gaming, nell ambito del quale particolare rilevanza assume sia la fattispecie di reato di Frode informatica sia quella di contraffazione delle carte di credito o di pagamento, a maggior ragione visti gli ingenti flussi finanziari movimentati attraverso la rete fisica e on-line da giocatori e operatori di gioco 7. Ne dà un esempio la recente sentenza della II Sezione Penale della Corte di Cassazione, n. 18909 del 30 aprile 2013, nella quale emerge come l alterazione di apparecchi elettronici destinati a giochi di abilità, trasformati in slot machine, integri il reato di 6 Già citata Relazione n III/0 del 22 agosto 2013. 7 Si veda in proposito anche la Comunicazione della Banca d Italia - Unità di Informazione Finanziaria Schemi rappresentativi di comportamenti anomali ai sensi dell'art. 6, comma 7, lett. b) del d.lgs n. 231/2007- operatività connessa con il settore dei giochi e delle scommesse.
13 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE truffa informatica, non essendo, i relativi proventi, tassati con la maggiore imposta del 13,5% che pertiene agli apparecchi dotati di aleatorietà. Al contrario, l appropriazione delle somme giocate alle slot machine ma non contabilizzate e non versate all Erario, integra il reato del peculato. Con tale sentenza, la Corte ha affermato il principio secondo il quale «l elemento distintivo tra il delitto di peculato e quello di frode informatica, aggravata ai danni dello Stato, ai sensi dell'art. 649-ter, secondo comma, c.p., nonché ai sensi dell art. 61, n. 9, c.p., è simile a quello fra il delitto di peculato ed il delitto di truffa aggravata ex art. 61, n. 9, c.p.». Conseguentemente, l'elemento distintivo deve essere individuato con riferimento alle modalità del possesso del denaro o d'altra cosa mobile altrui oggetto di appropriazione, ricorrendo il reato di peculato quando il pubblico ufficiale o l'incaricato di pubblico servizio se ne appropri avendone già il possesso o comunque la disponibilità per ragione del suo ufficio o servizio, e ravvisandosi invece il reato di frode informatica quando il soggetto attivo, non avendo tale possesso, se lo procuri fraudolentemente, facendo ricorso ad artifici o raggiri per procurarsi un ingiusto profitto con altrui danno. Nel caso di specie, la fattispecie di reato di Frode Informatica darebbe adito a responsabilità amministrativa dell ente, a seguito dell introduzione del reato di Frode informatica tra i cosiddetti "reati presupposto, novellati dal d.lgs 231/2001. Quanto detto dà evidenza di come l estensione del novero dei reati presupposto alle due fattispecie di reato della Frode informatica e della Contraffazione di carte di credito possa avere, di fatto, impatti importanti sul sistema organizzativo di gestione e controllo delle società nel settore del gioco e delle scommesse, con relativa esigenza di efficacemente aggiornare e implementare i
14 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE relativi Modelli organizzativi, di controllo e gestione 231, prevedendo idonee procedure per tali reati. In conclusione, il processo di aggiornamento e implementazione dei Modelli 231 dovrà tener conto, di volta in volta, della specificità di ciascun ente (e.g. in termini di struttura organizzativa, attività prestata, flussi informativi, etc.), con l obiettivo di individuare potenziali aree di rischio reato per le nuove fattispecie introdotte con D.L. 93/2013. FEDERICA FOTINO 8 8 AU del CIERM srls. Dott.ssa in Economia, è stata Cunsultant presso PricewaterhouseCoopers Advisory SpA, Full Time Visiting Researcher presso Centre of European Law King s College London, School of Law, e Intern presso l Ambasciata d Italia a Londra. È cultore della materia in Management presso la cattedra di Economia e Gestione della Facoltà Economia dell Università della Sapienza di Roma. e-mail: f.fotino@studiofotino.it
15 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE APPENDICE: Evoluzioni normative a seguito della conversione in legge del D.L. 93/2013 Appendice all GCR aggiunta in data 3 ottobre 2013
16 COMPLIANCE IN MATERIA DI PRIVACY, FRODE INFORMATICA E CONTRAFFAZIONE Successiva eliminazione del reato in materia di privacy tra i reati presupposto In data 2 ottobre 2013, le Commissioni permanenti I (Affari costituzionali, della Presidenza del Consiglio e interni) e II (Giustizia) alla Camera dei deputati hanno riferito favorevolmente sul testo del disegno di legge n.93 del 14 agosto 13, presentato per il suo recepimento con atto n. 1540. Tuttavia, in occasione della conversione in legge del D.L 93/2013, recante disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province, la Camera dei deputati ha emendato il succitato D.L. mediante, tra l'altro, la soppressione dell'art. 9 comma 2, che aveva previsto l'introduzione dei delitti in materia di Privacy, frode informatica e contraffazione di carte di credito nel novero dei reati presupposto novellati dal D.lgs 231/01, come discusso nel presente editoriale GRC. Ad oggi, tali delitti sono, pertanto, nuovamente esclusi dall ambito di applicazione del d.lgs 231. Le modificazioni apportate dalle commissioni recitano quanto segue: All'articolo 9: al comma 1: alla lettera a), capoverso, la parola: «sostituzione» è sostituita dalle seguenti: «furto o indebito utilizzo»; alla lettera b), le parole: «all'ultimo comma» sono sostituite dalle seguenti: «al terzo comma»; il comma 2 è soppresso; al comma 3, la lettera b) è soppressa. 9 9 Si veda XVII Legislatura Camera Dei Deputati, Conversione in legge del decreto-legge 14 agosto 2013, n. 93, N. 1540-A.