La legge 18 marzo 2008, n. 48 "Ratifica ed esecuzione della Convenzione del
Consiglio d' Europa sulla criminalità informatica, fatta a Budapest il 23
novembre 2001, e norme di adeguamento dell' ordinamento interno", oltre a
migliorare, in linea di massima, la portata delle disposizioni preesistenti,
specie quelle processuali, inciderà notevolmente sulle strategie aziendali in
tema di computer crime.
Come è noto per diversi anni le aziende hanno snobbato i reati informatici non
prevedendo apposite soluzioni per impedirne la commissione al loro interno e non
cautelandosi per le conseguenze giuridiche ed economiche.
In un primo momento, direi fino ai primi anni 90, le aziende erano addirittura
abbastanza restie a denunciare il reato subito e ciò per due ordini principali
di ragioni.
La prima risiedeva nel fatto che con la denuncia si riconosceva in concreto
la vulnerabilità dei sistemi, provocando una pubblicità negativa le cui
conseguenze potevano superare il danno patito.
La seconda è che non essendoci all’epoca una legislazione penale dell’informatica
l’eventuale querela inoltrata avrebbe dato vita ad un procedimento penale
quasi sicuramente destinato all’archiviazione. In altre parole “tanto rumore
per nulla”.
Un primo mutamento di tendenza si registra a seguito dell’entrata in vigore
della legge 23 dicembre 1993 n. 547 che, nel prevedere numerose nuove ipotesi di
reato correlate all’uso delle tecnologie dell’informazione, rende possibile
la punibilità dell’autore del delitto informatico.
Ciò detto, sino ad oggi la maggior parte delle aziende non si era posta
seriamente il problema di impedire la commissione di reati informatici al suo
interno, confidando da un lato sul fatto che di essi era comunque responsabile
penalmente esclusivamente il suo autore, sempre laddove fosse identificato, e
dall’altro sperando che ciò non accadesse mai.
Con l’entrata in vigore della legge in commento l’azienda è
inevitabilmente costretta a cambiare impostazione in quanto si prevede
l'estensione della responsabilità amministrativa delle persone giuridiche (le
aziende), come prevista dal decreto legislativo 231/01, ai reati informatici
commessi da un vertice o da un dipendente dell’azienda allorquando ciò
avvenga nel suo interesse o abbia apportato alla stessa un vantaggio.
Come si legge nella relazione di accompagnamento al testo presentato
alla Camera dei deputati, "l'introduzione dell'articolo 25-septies
(24-bis nel testo approvato dal Senato, NdR) del decreto legislativo 8
giugno 2001, n. 231, risponde all'esigenza di introdurre forme di
responsabilità penale per le persone giuridiche anche con riferimento ai reati
informatici più gravi".
Il testo estende (art. 7) la responsabilità amministrativa degli enti ai
seguenti reati informatici:
- falsità in un documento informatico (art. 491-bis c.p.);
- accesso abusivo ad un sistema informatico o telematico (art. 615-ter
c.p.);
- detenzione e diffusione abusiva di codici di accesso a sistemi informatici o
telematici (art. 615-quater c.p.);
- diffusione di apparecchiature, dispositivi o programmi informatici diretti a
danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies
c.p.);
- intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche (art. 617-quater c.p.);
- installazione di apparecchiature atte ad intercettare, impedire o interrompere
comunicazioni informatiche o telematiche (art. 615-quinquies c.p.);
- danneggiamento di informazioni, dati e programmi informatici (art. 635-bis
c.p.);
- danneggiamento di informazioni, dati e programmi informatici utilizzati dallo
Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter
c.p.);
- danneggiamento di sistemi informatici o telematici (art. 635-quater
c.p.);
- danneggiamento di sistemi informatici o telematici di pubblica utilità (art.
635-quinquies c.p.);
- frode informatica del certificatore di firma elettronica (art. 640-quinquies
c.p.).
Si tratta di una grande novità, atteso che fino ad oggi, sulla base del
decreto legislativo 231/01, tale responsabilità era prevista solo per residuali
ipotesi di reato informatico quali quelli di frode informatica commessa a danno
dello Stato o di altro ente pubblico (art. 24), di assistenza a gruppi
terroristici apprestata fornendo strumenti di comunicazione(art. 25 quater), di
distribuzione, cessione e detenzione di materiale pedopornografico (art.25
quinquies, comma 1 lett.c).
A dover preoccupare le aziende, poi, non è solo l’estensione di tale
responsabilità a tutti i delitti informatici, ma la circostanza che la stessa
possa essere imputata anche nelle ipotesi in cui non venga rintracciato l’autore
materiale del reato. Ne consegue che la mancata individuazione del soggetto
attivo del reato, non infrequente in materia di criminalità informatica, possa
non far comprendere esattamente all’organo giudicante le motivazioni dello
stesso e quindi determinare un’attribuzione di responsabilità anche quando l’autore
del reato abbia agito per fini esclusivamente personali e non nell’interesse
del suo datore di lavoro.
La preoccupazione non può poi che aumentare quando si consideri che l’azienda
ritenuta responsabile è soggetta oltre che all’esborso di ingenti somme di
danaro a sanzioni interdittive quali: a) l'interdizione dall'esercizio
dell'attività; b) la sospensione o la revoca delle autorizzazioni, licenze o
concessioni funzionali alla commissione dell'illecito;c) il divieto di
contrattare con la pubblica amministrazione, salvo che per ottenere le
prestazioni di un pubblico servizio; d) l'esclusione da agevolazioni,
finanziamenti, contributi o sussidi e l'eventuale revoca di quelli già
concessi; e) il divieto di pubblicizzare beni o servizi.
Di fronte a tale nuovo scenario l’azienda è inevitabilmente costretta a
studiare delle strategie preventive idonee, da un lato, ad impedire la
commissione di reati informatici al suo interno e dall’altro, capaci di
escluderne una sua responsabilità nelle ipotesi in cui le misure adottate non
siano state in grado di evitare la commissione del reato.
Quanto al primo aspetto, è auspicabile che venga potenziata una politica della
sicurezza informatica, atteso che qualsiasi reato tecnologico può essere
impedito soltanto con adeguate contromisure tecnologiche. Da questo punto di
vista, tuttavia, è bene sottolineare come la sicurezza non sia più un problema
esclusivamente tecnico, ma anche giuridico, essendo numerosi i testi legislativi
che prevedono tale tema.
Conseguenza è che una corretta politica della sicurezza vada pianificata non
solo con l’ausilio dell’informatico, ma anche del giurista o da una figura
che coniughi le due competenze, ovvero il giurista informatico.
Per limitare al massimo la possibilità di reati nel contesto aziendale occorre
poi una responsabilizzazione di tutti i soggetti che ivi lavorano, cosa che si
può ottenere attraverso strumenti diversi. Assai utile può rivelarsi la
predisposizione di corsi di formazione interna in grado di spiegare ai vertici
ed ai dipendenti dell’azienda ciò che si può e ciò che non si deve fare con
gli strumenti informatici. Corsi di formazione la cui efficacia dipenderà molto
dalla conoscenza preventiva del modo di lavorare e di pensare di ciascuno,
conoscenza questa acquisibile attraverso la compilazione di questionari anonimi
in grado di far sentire il polso dell’azienda a colui che è chiamato a
formare.
Altrettanto efficace potrebbe poi rivelarsi la redazione di un vero e proprio
codice di comportamento informatico, i cui principi fondamentali potrebbero
essere addirittura inseriti all’interno del contratto di lavoro.
Tali soluzioni potrebbero quindi dimostrare in prima battuta che si è fatto
tutto ciò che era possibile per impedire che propri dipendenti commettessero un
reato informatico e quindi evitare una sorta di responsabilità per culpa in
vigilando. Parimenti, per respingere rimproveri per una forma di culpa in
eligendo sarà indispensabile affidare incarichi “delicati” connessi all’uso
dei sistemi informatici a soggetti dotati di specifiche competenze.
D’altra parte tali accorgimenti vanno proprio nella direzione del decreto
legislativo 231 del 2001, che prevede l’esonero di una responsabilità dell’ente
allorquando lo stesso dimostri di aver predisposto modelli di organizzazione e
di gestione idonei a prevenire reati della specie di quello verificatosi.
A tal proposito si distingue a seconda che il reato venga commesso da un vertice
o da un dipendente. Nella prima ipotesi l’ente non risponde del reato commesso
quando sia in grado di dimostrare che:
- l’organo dirigente ha adottato ed efficacemente attuato , prima della
commissione del fatto, modelli di organizzazione e di gestione idonei a
prevenire reati della specie di quello verificatosi;
- il compito di vigilare sul funzionamento e l’osservanza dei modelli di
curare il loro aggiornamento è stato affidato ad un organismo dell’ente
dotato di autonomi poteri di iniziativa e di controllo;
- le persone hanno commesso il reato eludendo fraudolentemente i modelli di
organizzazione e di gestione;
- non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di
controllo.
Ovviamente non basta redigere il predetto modello organizzativo essendo
necessario che lo stesso risponda alle seguenti esigenze:
- individuare le attività nel cui ambito possono essere commessi reati;
- prevedere specifici protocolli diretti a programmare la formazione e l’attuazione
delle decisioni dell’ente in relazione ai reati da prevenire;
- individuare modalità di gestione delle risorse finanziarie idonee ad impedire
la commissione dei reati;
- prevedere obblighi di informazione nei confronti dell’organismo deputato a
vigilare sul funzionamento e l’osservanza dei modelli;
- introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto
delle misure indicate nel modello.
Per agevolare il compito delle aziende si prevede che i modelli possano
essere adottati sulla base di codici di comportamento redatti dalle associazioni
rappresentative degli enti, comunicati al Ministero della giustizia che, di
concerto con i ministeri competenti, può formulare, entro trenta giorni,
osservazioni sulla idoneità dei modelli a prevenire i reati.
Negli enti di piccole dimensioni il compito di vigilare sul funzionamento e l’osservanza
dei modelli, nonché di curarne il loro aggiornamento, può essere svolto
direttamente dall’organo dirigente.
Riguardo ai soggetti sottoposti all’altrui direzione, sempre secondo il
decreto legislativo 231, l’ente è responsabile se la commissione del reato è
stata resa possibile dall’inosservanza degli obblighi di direzione o
vigilanza.
In ogni caso, è esclusa l’inosservanza di tali obblighi se l’ente, prima
della commissione del reato, ha adottato ed efficacemente attuato un modello di
organizzazione, gestione e controllo idoneo a prevenire reati della specie di
quello verificatosi.
Il modello, in questo caso, prevede, in relazione alla natura e alla
dimensione dell’organizzazione nonché al tipo di attività svolta , misure
idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a
scoprire ed eliminare tempestivamente situazioni di rischio.
Ne consegue che l’efficace attuazione del modello richiede:
- una verifica periodica e l’eventuale modifica dello stesso quando sono
scoperte significative violazioni delle prescrizioni ovvero quando intervengano
mutamenti nell’organizzazione o nell’attività;
- un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure
indicate nel modello.
Ben consapevoli che la novità introdotta dalla legge in commento finisca con
il gravare ancora di più di oneri e responsabilità il comparto aziendale, è
pur vero che tale scelta era in qualche modo obbligata, considerando che tale
tipo di responsabilità era già stata prevista per molti delitti non
informatici e visto che rispetto a quelli informatici queste erano da tempo le
indicazioni comunitarie.
Ciò detto non resta che augurarsi che gli sforzi delle aziende di adeguarsi ai
nuovi dettami normativi non siano resi vani da una inadeguata preparazione degli
organi inquirenti e giudicanti e di tutti coloro che a diverso titolo, ivi
compresi periti e consulenti, determineranno in concreto l’applicazione delle
norme in tale delicato settore.
|