Quando si verifica un reato informatico


Oggi trascorriamo la maggior parte del nostro tempo su internet: lavoriamo, facciamo acquisti, parliamo con amici, paghiamo utenze, facciamo bonifici. Insomma, il settanta per cento delle attività – lavorative e non – passano sulla rete. Da qui il rischio di essere vittime di reati informatici, ovvero una vasta casistica di crimini commessi utilizzando tecnologie informatiche o telematiche: dal furto di milioni di euro, a quello di identità, dal danneggiamento di programmi alla perdita di dati.  In questo articolo vi daremo tutte le nozioni necessarie per riconoscere e prevenire un reato informatico.

Indice:

La legge

Il caso

Le responsabilità

I reati informatici nella pubblica amministrazione

Le sanzioni

 

La legge

 

legge, reati informatici, Labor Project

 

 

IL decreto Legislativo 231/2001 indica i reati informatici  tra i reati presupposto, ovvero quelli per i quali l’ente può essere chiamato a rispondere.

  • I reati informatici nel Codice Penale

Nel Codice Penale sono elencati i reati informatici come segue:

  • falsità in un documento informatico pubblico o privato
  • accesso abusivo ad un sistema informatico o telematico
  • detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici
  • diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico
  • intercettazioni, impedimento o interruzione illecita di comunicazioni informatiche o telematiche
  • installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche
  • danneggiamento di informazioni, dati e programmi
    • utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità
    • di sistemi informatici o telematici
    • di pubblica utilità
  • frode informatica del certificatore di firma elettronica

 

Il caso

 

processo, reati informatici, Labor Project

 

 

Per agevolare la comprensione della legge, riportiamo di seguito un esempio concreto preso dalla Giurisprudenza: ovvero la decisione di un giudice al termine di un processo avente come oggetto l’accesso abusivo ad un sistema informatico.

  •  I fatti

Secondo l’accusa, le persone fisiche imputate avrebbero fondato una società nel 2010 attraverso dei soggetti prestanome. Nella formula del rinvio a giudizio il sostituto procuratore spiegava come la società si sarebbe avvantaggiata dei reati commessi da due ex dipendenti di un’altra società che  si appropriavano indebitamente dei dati contenuti nell’archivio informatico della vecchia società a cui avevano ancora accesso, copiandoli su supporti rimovibili esterni.  Procedevano poi al trattamento dei dati raccolti  per finalità estranee e contrarie al perseguimento degli scopi aziendali.  Un piccolo campionario di informazioni relative ai clienti, ai format contrattuali, ai protocolli aziendali, a dati e a statistiche, acquisiti – secondo il magistrato – allo scopo di agevolare l’avviamento della nuova società avente ad oggetto un’attività imprenditoriale concorrente.

  • Gli elementi costitutivi del reato
    • Condotta: degli imputati
    • accesso abusivo ad un sistema informatico o telematico protetto
    • permanenza all’interno del sistema informatico o telematico contro la volontà di chi ha il diritto di escluderlo
  • elemento soggettivo: dolo generico che consiste nella coscienza e volontà di entrare in un sistema informatico o telematico protetto, ovvero di permanerci contro la volontà di chi può escluderlo, con la consapevolezza dell’abusività di tale condotta.

 

  • Sanzione prevista dal D.LGS. 231/2001 per questo tipo di reato

La sanzione prevista è da cento a cinquecento quote, considerando che il valore di una quota va da € 258,23 a € 1549,37, è il Giudice Penale che stabilisce il suo valore sulla base di:

  • condizioni economiche e patrimoniali dell’ente,
  • gravità del fatto,
  • grado della responsabilità dell’ente
  • attività svolta per eliminare o attenuare le conseguenze del fatto o per prevenire la commissione di ulteriori illeciti.

Le responsabilità

 

legge, responsability, privacy, reati informatici, Labor Project

 

 

Le responsabilità vanno imputate alla persona fisica che attua la condotta descritta dagli articoli del Codice penale sopra riportati.

  • La procedura

Innanzitutto, per prima cosa si apre un fascicolo penale dove viene iscritto un procedimento a carico dell’autore materiale del reato.

Dopodiché, se risponde anche l’ente, dovrà essere aperto anche un fascicolo a carico della società.

  • Il processo

A quel punto si svolgerà il processo per accertare i fatti.

Gli scenari ipotizzabili:

  1. Gli imputati sono:
    • A) il soggetto che ha commesso il reato
    • B) l’ente (nella persona del suo legale rappresentante)

In questo caso il reato è stato perpetrato nell’interesse o a vantaggio dell’ente (criterio su cui si fonda l’addebito per un ente)

  1. Il soggetto ha agito per un interesse esclusivamente proprio, in quel caso l’ente non risponde e rimane responsabilità solo in capo a chi ha commesso l’illecito.

 

  • Le responsabilità dell’ente

    1. L’ente si ritiene responsabile quando si ritiene non si sia data un’organizzazione tale per cui questo tipo di fatto poteva essere evitato.
    2. L’ente può dimostrare di aver agito al fine di evitare l’accadimento di un reato avendo adottato un Modello Organizzativo 231 che abbia valutato il rischio di commissione di reati informatici e abbia previsto procedure/protocolli per minimizzare la possibilità di avvenimenti di questo genere.  Se il Giudice dovesse ritenere il Modello valido ed efficace, l’ente non risponderebbe del reato.

 

I reati informatici nella pubblica amministrazione

 

pubblica amministrazione, reati,

 

 

 

I reati informatici riguardano anche le pubbliche amministrazioni; la legge perciò prevede l ’obbligo per le stesse di predisporre un piano triennale di prevenzione della corruzione al fine di prevenire il rischio di commissione dei suddetti reati. La legge in questione è la 190 del 2012.

  • La corruzione

Al fine di una corretta applicazione della legge occorre poi chiarire il concetto di corruzione. Per questo viene in aiuto la circolare n. 1 del 25 gennaio 2013 del Dipartimento della Funzione Pubblica secondo cui il concetto di corruzione deve essere inteso in senso lato, ovvero “come comprensivo della varie situazioni in cui, nel corso dell’attività amministrativa, si riscontri l’abuso da parte di un soggetto del potere a lui affidato al fine di ottenere vantaggi privati”.

  • Piano triennale di Prevenzione della Corruzione

Dall’ introduzione della Legge n. 190 / 2012 si è posto i l problema del coordinamento del modello (ex D. lgs. n. 231 / 2001) con il Piano Triennale di Prevenzione della Corruzione.

Sulla questione si è espressa l’Autorità Nazionale Anticorruzione che ha chiarito, con il PNA (Piano Nazionale Anticorruzione), che non vi è alcuna incompatibilità tra il modello 231 e il PTPC (Piano Triennale di Prevenzione della Corruzione).  Pertanto, gli enti pubblici economici e gli enti di diritto privato in controllo pubblico, siano essi a livello nazionale o regionale e locale, sono tenuti ad adottare una serie di misure organizzative e gestionali al fine di prevenire casi di corruzione, allargando l’ambito di applicazione non solo ai reati contro la pubblica amministrazione previsti nel modello 231, ma anche a quelli considerati nella legge 190 del 2012. Questi piani, denominati piani di prevenzione della corruzione, devono poi essere trasmessi alle amministrazioni e pubblicati sul sito istituzionale.

  • Responsabile della Prevenzione della Corruzione

Il Responsabile della Prevenzione della Corruzione è un organo monocratico e deve essere un dirigente di prima linea incardinato nel contesto organizzativo e dotato di compiti prettamente operativi. A differenza sua l’Organo di Vigilanza devono avere i requisiti di autonomia e indipendenza e, di conseguenza, devono essere privi di qualsiasi subordinazione con l’ente. Ragioni pratiche e di opportunità inducono quindi ad escludere la netta sovrapponibilità tra queste due figure. Una soluzione di compromesso, allo stesso tempo ossequiosa della legge e delle esigenze di prevenzione, sarebbe quella di prevedere un Organo di Vigilanza collegiale misto, all’ interno del quale inserire un membro della società partecipata inquadrato come dirigente, che svolgerà anche la funzioni di responsabile anticorruzione.

 

Le sanzioni

 

sanzioni, privacy, Labor Project

 

  • Nel settore privato

L’ente risponde secondo il decreto legislativo 231/2001 qualora sussistano i criteri di imputabilità (interesse e vantaggio per l’ente nella commissione del reato presupposto + assenza modello organizzativo o modello organizzativo ritenuto non idoneo). Potrà essere condannato a:

  • sanzioni pecuniarie secondo il sistema delle quote sopra descritto;
  • sanzioni interdittive (se previste dal reato) sono le più pericolose perché possono bloccare l’attività della società. Tra le sanzioni interdittive vi sono:
    • interdizione dall’esercizio dell’attività;
    • sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito;
    • divieto di contrattare con la P.A.;
    • esclusione da agevolazioni, finanziamenti, contributi o sussidi e/o revoca di quelli concessi;
    • divieto di pubblicizzare beni o servizi.
  • confisca del profitto del reato;
  • pubblicazione della sentenza di condanna

Tale responsabilità si aggiunge a quella personale del dipendente/apicale che abbia commesso un illecito 231.

 

  • Nella pubblica amministrazione

Il pubblico dipendente nello svolgimento della sua attività può incorrere in quattro tipologie di responsabilità:

  • civile: se arreca un danno a terzi, interni o esterni all’amministrazione, ovvero a quest’ultima;
  • penale: se tiene una condotta delittuosa con effetti pregiudizievoli per l’amministrazione di appartenenza;
  • amministrativo-contabile: se arreca ad una pubblica amministrazione un danno di tipo erariale, diretto o indiretto (cioè quello in cui il pregiudizio non è causato all’ente direttamente dal dipendente, ma deriva dal risarcimento ottenuto da un terzo danneggiato da attività imputabili alla stessa amministrazione);
  • disciplinare: se viola gli obblighi di condotta sanciti direttamente dalla legge o dal codice di comportamento o dal contratto collettivo nazionale di lavoro.

Quindi non risponderà l’ente, ma solo la persona fisica che ha avuto una condotta illecita.

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia