Reati informatici, il modulo che salva le aziende

10/05/2013
di Leonardo

ICT, sicurezza, 231Pubblicato su: Punto Informatico

La legge 231 vige dal 2001 e molte aziende vi hanno finora aderito come un obbligo. Poche hanno compreso il valore dei sistemi di monitoraggio delle attività dei propri impiegati. Qualcosa sta cambiando?

Sono stata relatrice nei giorni scorsi a SMAU PADOVA per AIPSI (Associazione Italiana Professionisti Sicurezza Informatica) ed ho trattato un tema particolare: la legge 231 sulla responsabilità degli enti applicata ai reati informatici. L´argomento è stato scelto un po´ in senso “provocatorio”: esperti della sicurezza, attenzione, c´è una normativa che contempla i reati connessi all´informatica, ma in pochi sanno come applicarla idoneamente. Pensavo di essere un po’ pioniera sull’argomento, e di trovarmi uno sparuto pugno di partecipanti incuriositi e non preparati. Invece ho sottovalutato: platea piena, persone in piedi per 50 minuti di indicazioni pratiche su come applicare il modello 231 ai reati informatici e portare valore aggiunto all´azienda. Ed il messaggio è stato capito. Vale quindi la pena parlarne di più?

Per chi non conoscesse la 231, è il decreto introdotto nel 2001 per calmierare l´impatto della responsabilità penale riconoscibile in capo ai vertici apicali aziendali. Il cosiddetto modello 231, applicato ad alcune categorie di reati, consente di tenere indenne da responsabilità penali e talvolta sanzionatorie i vertici aziendali, dimostrando di aver adottato protocolli e procedure idonee alla prevenzione dei reati da parte dei propri operatori. In sostanza: nelle realtà aziendali non sempre i vertici possono controllare oggettivamente tutti i livelli di operatori, ma se l´organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto di reato, modelli di organizzazione e di gestione (schemi, protocolli operativi e procedure) idonei a prevenire i reati presupposto della specie di quello verificatosi, può godere dei vantaggi riconosciuti dall´applicazione di questa normativa.

Ovviamente si tratta di prevenire reati che porterebbero ad un profitto per l´azienda, ma non voluti o condivisi dalla dirigenza. Entriamo nel merito dei reati informatici: la 231 contempla dal 2008 reati quali accesso abusivo ad un sistema, intercettazione di comunicazioni, danneggiamento di informazioni, dati, programmi e sistemi, violazione del diritto d´autore ecc. Reati che effettivamente potrebbero anche essere commessi fuori da una volontà dell´organo dirigente. Si pensi al più diffuso: violazione del diritto d´autore. In quante aziende girano programmi non originali magari per consentire risparmio alle singole direzioni, senza che talvolta il manager ICT ne sia informato o abbia autorizzato una simile condotta? Vi rispondo da persona che opera nel settore: se non è sempre è spesso. Se però il modello 231 è stato ben redatto, il manager ICT potrà – insieme ai vertici – invocare l´esenzione dalla responsabilità.
Non è che sia proprio una quisquilia. Anzi. È la dimostrazione di come una realtà aziendale intenda applicare principi di liceità nel suo operare, arginando quelle condotte malevole che, sui grandi numeri, possono essere commesse. Fin qui l´aspetto da puro avvocato.

Da qui, le riflessioni da persona che lavora con il mondo ICT, e sa cosa sta succedendo. Poco budget a disposizione nelle aziende, quindi pochi investimenti, pochi strumenti di controllo, poca ottimizzazione dei processi. Ecco perché la 231 può, a mio parere, aiutare i manager – ma anche gli operatori stessi – nel settore informatico. Difatti, adottare un modello 231 con riferimento ai reati informatici, vuol dire mappare le aree di rischio, individuare protocolli per proceduralizzare determinati step organizzativi (classico: operatore che cambia qualifica in azienda, o se ne va: quanto tempo passa prima che l´ufficio personale lo comunichi all´ICT? Se lo comunica…); introdurre un sistema disciplinare rispetto alle tematiche connesse alla sicurezza. Insomma: un bel lavoro di razionalizzazione con relativa formazione ed informazione degli operatori finali.

Consideriamo poi che la 231 non si traduce solo in procedure, ma anche in adozione di strumenti e sistemi informatici: sistemi di monitoraggio download, filtri, soluzioni di controllo (secondo i parametri normativi) delle navigazioni, razionalizzazione nell´impostazione delle politiche di gestione di posta elettronica. Insomma: un mondo “pulito” da tanta confusione che può regnare nel settore spesso a causa di mancata valorizzazione dell´area coinvolta.

Allora perché non fare leva sull´idonea applicazione del modello 231 nella propria azienda per tradurre un impegno normativo alquanto gravoso in un valore aggiunto per l´operatività non solo della direzione ICT ma anche e soprattutto dell´azienda stessa? Questo è stato il messaggio, e con mia grande sorpresa, è stato recepito. Con molta preparazione da parte della platea, e con un dato trasversale a molti: modello 231 adottato dalla propria azienda, ma senza alcuna analisi effettiva sulla parte ICT, spesso con redazione dei protocolli senza alcun coinvolgimento degli operatori informatici.
Conviene rifletterci, no?

Riproduzione riservata ©

ALTRE NEWS

231 e violazione diritto d’autore

Il dato deve fare riflettere: quasi la metà (48%) dei programmi installati nel nostro Paese è illegale. È questo ciò che afferma l’ultima edizione del… Leggi Tutto

Privacy: secco no del Garante al riconoscimento facciale

Il 25 febbraio scorso l’Autorità Garante per la protezione dei dati, in risposta alla verifica preliminare avanzata, ai sensi dell’art. 17 del D.lgs. 196 del… Leggi Tutto

Aspetti giuridici sul cyberbullismo: responsabilità e soluzioni

Il cyberbullismo – bullismo perpetrato con l’utilizzo delle nuove tecnologie – sta andando diffondendosi vertiginosamente, potendosi leggere sempre più frequentemente nelle cronache dei quotidiani, atti… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form