Sicurezza informatica e Decreto Legislativo 231: un binomio inscindibile

L’inarrestabile diffusione di internet ha coinvolto a tal punto ogni aspetto delle nostre vite che ormai qualsiasi tipo di azienda o ente collettivo, a prescindere dalle dimensioni o dal settore di attività, per restare al passo con l’era della tecnologia, si è dotato di sistemi e apparecchiature informatiche.

L’apertura dei sistemi di informazione all’universo digitale ha portato, come diretta conseguenza, una crescente necessità di adeguamento delle misure di sicurezza, atte a salvaguardare i dati e le informazioni aziendali. Di questo passo sicurezza informatica e d.lgs. 231 sono divenuti parte di un binomio inscindibile, alimentando un dibattito che da un lato analizza le diverse tipologie di reato e dall’altro cerca di fornire soluzioni concrete per prevenire gli abusi. La questione risulta più che mai complessa, soprattutto se si considera la stretta connessione che esiste tra il decreto 231, la normativa in materia di privacy e quella relativa allo Stato dei Lavoratori.

La Legge 48/2008, con cui è stata ratificata la Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica del 23 Novembre 2001, ha apportato diverse modifiche sia al Codice Penale che a quello di Procedura Penale, modificando inoltre l’art. 24 del d.lgs. 231/01 a cui ha aggiunto l’art. 24 bis (Delitti informatici e trattamento illecito di dati quali reati presupposto) che inserisce numerosi reati informatici fra quelli presupposti dal decreto in questione. Accesso a sistema informatico o telematico, intercettazione, impedimento e interruzione illecita di comunicazioni informatiche o telematiche, danneggiamento di informazioni dati programmi sistemi informatici o telematici, trattamento illecito dei dati e violazioni connesse alla legge a tutela del diritto d’autore sono solo alcuni dei reati introdotti. Per orientarsi con maggiore facilità in questa articolata normativa, sono stati individuati tre diversi gruppi di reati, all’interno della Legge 48/2008.
a) articoli 615 ter, 617 quater, 617 quinquies, 635 bis, 635 ter, 635 quater e 635 quinquies C.P.. I reati di questa categoria riguardano il danneggiamento di hardware, di software e di dati: è prevista la punizione per l´accesso abusivo ad un sistema e l´intercettazione o l´interruzione di dati compiute attraverso l´installazione di appositi software o hardware e viene considerata aggravante la commissione degli stessi reati in sistemi informatici di pubblica utilità;
b) articoli 615 quater e 615 quinquies C.P.: tali articoli puniscono la detenzione e la diffusione di software e/o di attrezzature informatiche atte a consentire la commissione dei reati di cui alla precedente lett. a);
c) articoli 491 bis e 640 quinquies C.P. Considerano la violazione dell´integrità dei documenti informatici e della loro gestione attraverso la falsificazione di firma digitale (elettronica).
Una prima analisi è sufficiente per cogliere la forte relazione tra i differenti reati i quali, considerati nel complesso, rivelano la mancanza di sistemi che assicurano una sicurezza completa e totale sui diversi fronti.
Purtroppo la regola d’oro del “prevenire è meglio che curare” troppo spesso rimane inascoltata e mentre le prevenzioni connesse ai reati societari o contro le PA, piuttosto che quelli legati alla sicurezza sui luoghi di lavoro, risultano questioni molto sentite e altamente valorizzate, per l’analisi dei reati informatici lato 231 si riscontra una preoccupante mancanza di attenzione. Eppure la posta in gioco è davvero alta se si considera il fatto che l’intera vita aziendale, in tutti i suoi aspetti, è condizionata – più o meno direttamente – dai sistemi informatici.
La messa in sicurezza di un sistema passa innanzitutto dalla mappatura delle aree a rischio. Le prime azioni da intraprendere coinvolgono sistemi ICT aziendali e posta elettronica, punti deboli comuni a qualsiasi reparto per poi coinvolgere la gestione dei documenti informatici, dei dati riservati e sensibili o delle credenziali di accesso ai sistemi, altri aspetti da non sottovalutare nella redazione di un modello organizzativo finalizzato alla gestione dei rischi. Fatto questo il passo successivo è la definizione dei protocolli penali-preventivi redatti nel rispetto della normativa vigente. Definire e rendere note specifiche deleghe nelle differenti aree aziendali, nominando un amministratore di sistema e i suoi collaboratori specificandone ruolo, poteri e responsabilità dei singoli soggetti è essenziale per mettere in atto un’organizzazione puntale. La proceduralizzazione delle attività informatiche e di tutte quelle attività da considerarsi a rischio-reato, svolte con l’ausilio o per mezzo di strumenti informatici è l’ultima fase del processo.
E’ opportuno sottolineare che fare prevenzione in ambito di applicazione 231 non si limita a mettere in atto delle procedure ma prevede anche l’assunzione di norme comportamentali, collegate sia all’applicazione delle normative in materia di privacy, che alla gestione delle licenze che all’adozione di un regolamento informatico aziendale.
Una formazione interna chiara e puntuale centrata sulla portata normativa ma ancor più sull’applicazione concreta delle procedure è il migliore strumento per prevenire i reati. Purtroppo molto spesso le aziende sono inconsapevoli dello spessore e dell’importanza rivestita da un modello 231 e la diffusione in rete di prodotti preconfezionati, realizzati senza tener conto delle specificità di ciascuna azienda, non ha fatto che accrescere il problema portando, in alcuni casi, a far decadere integralmente la validità del modello. Per evitare tutto questo è fondamentale attribuire la giusta attenzione al modello 231 affidandosi alla professionalità di un responsabile di sicurezza informatica in grado di interpretare le esigenze aziendali e di congiungere ottimizzazione organizzativa ad un’attività di prevenzione dei reati.

Articolo pubblicato su http://www.asso231.it/