Le aziende non possono più “snobbare” i reati informatici

di Paolo Galdieri* – 12.06.08

La prima risiedeva nel fatto che con la denuncia si riconosceva in concreto la vulnerabilità dei sistemi, provocando una pubblicità negativa le cui conseguenze potevano superare il danno patito.
La seconda è che non essendoci all’epoca una legislazione penale dell’informatica l’eventuale querela inoltrata avrebbe dato vita ad un procedimento penale quasi sicuramente destinato all’archiviazione. In altre parole “tanto rumore per nulla”.

Un primo mutamento di tendenza si registra a seguito dell’entrata in vigore della legge 23 dicembre 1993 n. 547 che, nel prevedere numerose nuove ipotesi di reato correlate all’uso delle tecnologie dell’informazione, rende possibile la punibilità dell’autore del delitto informatico.
Ciò detto, sino ad oggi la maggior parte delle aziende non si era posta seriamente il problema di impedire la commissione di reati informatici al suo interno, confidando da un lato sul fatto che di essi era comunque responsabile penalmente esclusivamente il suo autore, sempre laddove fosse identificato, e dall’altro sperando che ciò non accadesse mai.

Con l’entrata in vigore della legge in commento l’azienda è inevitabilmente costretta a cambiare impostazione in quanto si prevede l'estensione della responsabilità amministrativa delle persone giuridiche (le aziende), come prevista dal decreto legislativo 231/01, ai reati informatici commessi da un vertice o da un dipendente dell’azienda allorquando ciò avvenga nel suo interesse o abbia apportato alla stessa un vantaggio.

Come si legge nella relazione di accompagnamento al testo presentato alla Camera dei deputati, "l'introduzione dell'articolo 25-septies (24-bis nel testo approvato dal Senato, NdR) del decreto legislativo 8 giugno 2001, n. 231, risponde all'esigenza di introdurre forme di responsabilità penale per le persone giuridiche anche con riferimento ai reati informatici più gravi".
Il testo estende (art. 7) la responsabilità amministrativa degli enti ai seguenti reati informatici:
- falsità in un documento informatico (art. 491-bis c.p.);
- accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.);
- detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.);
- diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.);
- intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.);
- installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 615-quinquies c.p.);
- danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.);
- danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.);
- danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.);
- danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.);
- frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.).

Si tratta di una grande novità, atteso che fino ad oggi, sulla base del decreto legislativo 231/01, tale responsabilità era prevista solo per residuali ipotesi di reato informatico quali quelli di frode informatica commessa a danno dello Stato o di altro ente pubblico (art. 24), di assistenza a gruppi terroristici apprestata fornendo strumenti di comunicazione(art. 25 quater), di distribuzione, cessione e detenzione di materiale pedopornografico (art.25 quinquies, comma 1 lett.c).

A dover preoccupare le aziende, poi, non è solo l’estensione di tale responsabilità a tutti i delitti informatici, ma la circostanza che la stessa possa essere imputata anche nelle ipotesi in cui non venga rintracciato l’autore materiale del reato. Ne consegue che la mancata individuazione del soggetto attivo del reato, non infrequente in materia di criminalità informatica, possa non far comprendere esattamente all’organo giudicante le motivazioni dello stesso e quindi determinare un’attribuzione di responsabilità anche quando l’autore del reato abbia agito per fini esclusivamente personali e non nell’interesse del suo datore di lavoro.

La preoccupazione non può poi che aumentare quando si consideri che l’azienda ritenuta responsabile è soggetta oltre che all’esborso di ingenti somme di danaro a sanzioni interdittive quali: a) l'interdizione dall'esercizio dell'attività; b) la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito;c) il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; d) l'esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca di quelli già concessi; e) il divieto di pubblicizzare beni o servizi.

Di fronte a tale nuovo scenario l’azienda è inevitabilmente costretta a studiare delle strategie preventive idonee, da un lato, ad impedire la commissione di reati informatici al suo interno e dall’altro, capaci di escluderne una sua responsabilità nelle ipotesi in cui le misure adottate non siano state in grado di evitare la commissione del reato.
Quanto al primo aspetto, è auspicabile che venga potenziata una politica della sicurezza informatica, atteso che qualsiasi reato tecnologico può essere impedito soltanto con adeguate contromisure tecnologiche. Da questo punto di vista, tuttavia, è bene sottolineare come la sicurezza non sia più un problema esclusivamente tecnico, ma anche giuridico, essendo numerosi i testi legislativi che prevedono tale tema.

Conseguenza è che una corretta politica della sicurezza vada pianificata non solo con l’ausilio dell’informatico, ma anche del giurista o da una figura che coniughi le due competenze, ovvero il giurista informatico.
Per limitare al massimo la possibilità di reati nel contesto aziendale occorre poi una responsabilizzazione di tutti i soggetti che ivi lavorano, cosa che si può ottenere attraverso strumenti diversi. Assai utile può rivelarsi la predisposizione di corsi di formazione interna in grado di spiegare ai vertici ed ai dipendenti dell’azienda ciò che si può e ciò che non si deve fare con gli strumenti informatici. Corsi di formazione la cui efficacia dipenderà molto dalla conoscenza preventiva del modo di lavorare e di pensare di ciascuno, conoscenza questa acquisibile attraverso la compilazione di questionari anonimi in grado di far sentire il polso dell’azienda a colui che è chiamato a formare.

Altrettanto efficace potrebbe poi rivelarsi la redazione di un vero e proprio codice di comportamento informatico, i cui principi fondamentali potrebbero essere addirittura inseriti all’interno del contratto di lavoro.
Tali soluzioni potrebbero quindi dimostrare in prima battuta che si è fatto tutto ciò che era possibile per impedire che propri dipendenti commettessero un reato informatico e quindi evitare una sorta di responsabilità per culpa in vigilando. Parimenti, per respingere rimproveri per una forma di culpa in eligendo sarà indispensabile affidare incarichi “delicati” connessi all’uso dei sistemi informatici a soggetti dotati di specifiche competenze.

D’altra parte tali accorgimenti vanno proprio nella direzione del decreto legislativo 231 del 2001, che prevede l’esonero di una responsabilità dell’ente allorquando lo stesso dimostri di aver predisposto modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi.
A tal proposito si distingue a seconda che il reato venga commesso da un vertice o da un dipendente. Nella prima ipotesi l’ente non risponde del reato commesso quando sia in grado di dimostrare che:
- l’organo dirigente ha adottato ed efficacemente attuato , prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
- il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento è stato affidato ad un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo;
- le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
- non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di controllo.

Ovviamente non basta redigere il predetto modello organizzativo essendo necessario che lo stesso risponda alle seguenti esigenze:
- individuare le attività nel cui ambito possono essere commessi reati;
- prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;
- individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
- prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli;
- introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

Per agevolare il compito delle aziende si prevede che i modelli possano essere adottati sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della giustizia che, di concerto con i ministeri competenti, può formulare, entro trenta giorni, osservazioni sulla idoneità dei modelli a prevenire i reati.
Negli enti di piccole dimensioni il compito di vigilare sul funzionamento e l’osservanza dei modelli, nonché di curarne il loro aggiornamento, può essere svolto direttamente dall’organo dirigente.

Riguardo ai soggetti sottoposti all’altrui direzione, sempre secondo il decreto legislativo 231, l’ente è responsabile se la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione o vigilanza.
In ogni caso, è esclusa l’inosservanza di tali obblighi se l’ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi.

Il modello, in questo caso, prevede, in relazione alla natura e alla dimensione dell’organizzazione nonché al tipo di attività svolta , misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio.
Ne consegue che l’efficace attuazione del modello richiede:
- una verifica periodica e l’eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengano mutamenti nell’organizzazione o nell’attività;
- un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

Ben consapevoli che la novità introdotta dalla legge in commento finisca con il gravare ancora di più di oneri e responsabilità il comparto aziendale, è pur vero che tale scelta era in qualche modo obbligata, considerando che tale tipo di responsabilità era già stata prevista per molti delitti non informatici e visto che rispetto a quelli informatici queste erano da tempo le indicazioni comunitarie.
Ciò detto non resta che augurarsi che gli sforzi delle aziende di adeguarsi ai nuovi dettami normativi non siano resi vani da una inadeguata preparazione degli organi inquirenti e giudicanti e di tutti coloro che a diverso titolo, ivi compresi periti e consulenti, determineranno in concreto l’applicazione delle norme in tale delicato settore.
 

 * Avvocato in Roma – Docente di informatica giuridica