I crimini informatici e l'azienda

I crimini informatici e l'azienda

Avv. Giovanni FiorinoForo di Taranto

[email protected]


L'azienda come persona offesa, potenziale destinataria di attacchi informatici


Il rischio per l'azienda fondato sulla condotta del dipendente

● Il dipendente che opera correttamente sui sistemi informatici ma che potrebbe farsi raggirare da tecniche di ingegneria sociale (anche il phishing) (l'azienda è vittima dall'esterno)

● Il dipendente che non opera correttamente sui sistemi informatici e che, per questa sua condotta, mette in pericolo la sicurezza del sistema informatico aziendale (l'azienda è vittima dall'esterno)


Il rischio per l'azienda fondato sulla condotta del dipendente: attacchi esterni

● Il dipendente che opera correttamente sui sistemi informatici ma che potrebbe farsi raggirare da tecniche di ingegneria sociale (l'azienda è vittima di attacchi esterni)

● Il dipendente che non opera correttamente sui sistemi informatici e che, per questa sua condotta, mette in pericolo la sicurezza del sistema informatico aziendale (l'azienda è vittima di attacchi esterni)


Il rischio per l'azienda fondato sulla condotta del dipendente: attacchi interni

● Il dipendente infedele che commette reati adoperando il sistema informatico


L'importanza dell'analisi degli attacchi informatici: i Report


Attacchi informatici e azienda


Attacchi informatici e azienda

● Definizione e modalità operative dell'attacco informatico

● rilevanza della condotta della vittima dell'attacco informatico

● considerazioni giuridiche

● predisposizione di contromisure


Malware

● Definizione: insieme di programmi sviluppati e diffusi con il solo scopo di provocare danni ai computer sui quali sono attivati: includono i virus, i cavalli di troja (trojan), i worm, i PUP, i backdoor, gli adware, gli spyware


● Modalità operative

Trojan Horse (cavallo di Troia): codice maligno che realizza azioni indesiderate o non note all’utente

Ransomware: codice maligno che restringe e/o blocca i diritti d’accesso e le funzionalità di un sistema, tramite il quale viene chiesto un riscatto (ransom) per sbloccarlo

Cryptoloker: Malware che ha come finalità criptare i file presenti nel di-spositivo infetto al fine di richiedere un riscatto alla vittima per renderli nuovamente intellegibili.


● Rilevanza della condotta della vittima dell'attacco informatico: il fattore umano


● Considerazioni giuridiche:

Art. 615 quinquies c.p.: Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329.


● Predisposizione di contromisure

L'importanza del fattore umano


Social engineering

● Definizione: tutte le modalità di carpire informazioni, quali l’user-id e la password, per accedere illegalmente ad una risorsa informatica. In generale si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni



Tecniche di social engineering realizzato con modalità non informatiche

Tecniche di social engineering realizzato con modalità informatiche: ad esempio, il phishing ed il pharming



Tecniche di social engineering realizzato con modalità non informatiche: il fattore umano

Tecniche di social engineering realizzato con modalità informatiche: il fattore umano



Art. 494 c.p.: Sostituzione di persona.Art. 640 c.p.: Truffa

il social engineering è prodromico a condotte penalmente rilevanti, quali, ad esempio, quelle previste e punite dagli articoli

615 – quater c.p.615 – ter c.p


Giurisprudenza sul phishing


Tribunale di Milano 7 ottobre 2011, “Chi utilizza tecniche di "phishing" per ottenere, tramite artifici e raggiri e inducendo in errore l'utente, le credenziali di autenticazione necessarie ad accedere abusivamente a spazi informatici esclusivi del titolare (ad esempio relativi alla gestione dei conti correnti on line) e a svolgere, senza autorizzazione, operazioni bancarie o finanziarie, può rispondere dei delitti di cui agli art. 494 (sostituzione di persona), 615 ter (accesso abusivo a sistemi informatici o telematici) e 640 c.p.


Tribunale di Monza 7 maggio 2009: “La condotta cosidetta di "phishing", consistente nel "pescare", mediante abusivo inserimento nel sistema informatico di un'istituzione finanziaria o mediante false e-mail dirette ai clienti delle banche o delle poste, i dati significativi dei rapporti di conto corrente intrattenuti dagli stessi, dati che vengono successivamente utilizzati in modo fraudolento per "donare" carte di credito e/o di pagamento o per disporre on line operazioni di trasferimento di denaro su conti correnti nella disponibilità dei criminali con successivo prelevamento di contanti e conseguente sparizione del denaro fraudolentemente sottratto, integra la fattispecie di truffa punita ex art. 640 c.p. e non il delitto di frode informatica di cui all'art. 640 ter c.p.


Cassazione penale 44156/2014: ricettazine, riciclaggio e phishing: “Il processo ha ad oggetto imputazioni di ricettazione e di riciclaggio che integrano la nuova figura di reato realizzato attraverso strumenti informatici e denominato "phishing", caratterizzato da una prima fase nella quale, nella prevalenza dei casi, l'autore materiale dell'operazione truffaldina invia un numero elevato di messaggi di posta elettronica individuati a caso ed utilizzando il logo di istituti di credito o delle Poste Italiane ed invitando i destinatari a comunicare i codici di accesso ai propri conti correnti per una presunta verifica dei dati, così mettendo a disposizione del truffatore mittente i dati stessi che consentono a quest'ultimo di operare via internet sui conti correnti delle vittime. In una seconda fase il truffatore ricerca via internet persone disposte, dietro riconoscimento di una provvigione, ad aprire un conto corrente (o ad utilizzare il proprio) al fine di farsi accreditare i bonifici di denaro provenienti dai conti delle vittime ma disposti dal truffatore.Infine dette persone prelevano in contanti le somme di provenienza illecita loro accreditate o le trasferiscono ad altri conti di destinazione così da farle pervenire - previamente decurtate della provvigione loro promessa - al destinatario finale dell'operazione truffaldina”.


Rilevanza della condotta della vittima dell'attacco informatico: il fattore umano



L'importanza del fattore umano


DoS e DDoS

● Definizione: Denial of Service (DoS) e Distributed Denial of Service (DDoS): attacco per saturare sistemi e servizi ed impedire la loro disponibilità.

● Possono essere divisi in due tipologie: 1) applicativi, tesi a generare un numero di richieste maggiore o uguale al numero di richieste massimo a cui un server può rispondere (ad esempio numero di richieste web HTTP/HTTPS concorrenti). 2) volumetrici, tesi a generare un volume di traffico maggiore o uguale alla banda disponibile in modo da saturarne le risorse.



E' un tipo d'attacco che mira a rendere indisponibili per un lasso di tempo indeterminato i servizi o le risorse di un'organizzazione. Si tratta nella maggior parte dei casi di attacchi verso i server di una società, per far si che non possano essere usati e consultati. Gli attacchi DoS rappresentano un problema che può toccare qualsiasi server di società o quelli particolarmente collegati ad internet. Lo scopo di un tale attacco non è di recuperare o alterare i dati, ma di nuocere alla reputazione della società presente su internet ed eventualmente nuocere al suo funzionamento se la sua attività poggia su un sistema d'informazione



Art. 617 quater c.p.: Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni.


Furto di dispositivi fisici ICT

● Definizione: Sottrazione fisica.

Il problema dell'aumento dei supporti di memorizzazione di dati, dell'aumento della loro capacità di memorizzazione, della riduzione delle loro dimensioni



Artt. 624 c.p.: Chiunque s'impossessa della cosa mobile altrui, sottraendola a chi la detiene, al fine di trarne profitto per sé o per altri, è punito con la reclusione da sei mesi a tre anni e con la multa da 154 euro a 516 euro



Distrazione


Ricatti ICT

Definizione: il ricatto ICT richiede, in genere, una condotta preliminare; pertanto, il ricatto si qualifica, giuridicamente, come “estorsione” - art. 629 c.p. - eventualmente anche nella forma tentata – art. 56 c.p. -; preliminarmente vi è un'attività giuridicamente rilevante che, a livello di fenomenologia informatica, può rientrare o nella ipotesi del ransomware – ad esempio, il cryptoloker – ovvero sulle scansioni da remoto – pen test non autorizzati – che individuano debolezze di protezioni sul sistema ICT obiettivo



Ransomware (cryptoloker)Scansione da remoto alla ricerca di vulnerabilità

I crimini informatici

Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615

quinquies c.p.)Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329.


L'accesso abusivo ad un sistema informatico o telematico (Art. 615 ter c.p.)

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.



Ransomware (cryptoloker): fattore umanoScansione da remoto alla ricerca di vulnerabilità: esistenza di vulnerabilità del sistema



Ransomware: L'importanza del fattore umanoScansioni da remoto alla ricerca di vulnerabilità: aggiornamento dei sistemi operativi e dei programmi

I crimini informatici e l'aziendaAttacchi alle reti

Definizione e modalità operative: Spoofing: Lo spoofing è un tipo di attacco informatico che impiega in varie maniere la falsificazione dell'identità (spoof) MAC spoofing: Quando l'informazione falsificata è un indirizzo MAC si parla di MAC-spoofing. L'attacco consiste nell'immettere in rete un pacchetto che contiene un MAC adress diverso da quello dell'attaccante ed uguale a quello della vittima IP spoofing: In una rete di computer con il termine di IP spoofing si indica una tecnica di attacco alla sicurezza informatica tramite il quale si crea un pacchetto IP nel quale viene falsificato l'indirizzo IP del mittente



Art. 617 sexies c.p.: Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni.

I crimini informatici e l'aziendaSfruttamento delle vulnerabilità dei programmi sia a livello di posto di lavoro che di serverDefinizione e modalità operative: ● Back-door aperte: Backdoor è un'interfaccia e/o meccanismo nascosto

che permette di accedere ad un programma superando le normali procedure e barriere d’accesso

● SQL injection: tecnica di inserimento di codice in un programma che sfrutta delle vulnerabilità sul database con interfaccia SQL che viene usata dall’applicazione.

● buffer overflow: consiste nel sovrascrivere in un buffer o in uno stack del programma dati o istruzioni con i quali il programma stesso può comportarsi in maniera diversa dal previsto, fornire dati errati, bloccare il sistema operativo, ecc.


L'esempio di Heartbleed: Heartbleed è identificata e classificata nella banca dati delle vulnerabilità come CVE-2014-016025 e consente ad un attaccante di catturare informazioni riservate, quali identificativi d’utente, password, certificati elettronici, numeri di carte di credito, che sono scambiati sul collegamento HTTPS. I rischi principali riguardano tipicamente siti web, webmail, social network, sistemi di telefonia IP e server di comunicazione e messaggistica, unità di storage, VPN, firewall e sistemi embedded, tipici dell’Internet delle cose . Ma possono riguardare anche i dispositivi d’utente, PC-tavolette-smartphone, con la versione bacata di OpenSSL.I bachi sono stati eliminati con il rilascio della nuova versione OpenSSL, ma tutti gli ambienti, sia server che client, che utilizzano ancora la versione 1.0.1 sono a rischio.


Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615 quater c.p.)

Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a 5.164 euro.


L'accesso abusivo ad un sistema informatico o telematico (Art. 615 ter c.p.)

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.



fattore umano nel caso di attivazione di backdoor dall'esterno, mediante il download si programmi pericolosi; fattore umano per mancato aggiornamento dei sistemi che presentano vulnerabilità. In particolare, la banca dati delle vulnerabilità: http://www.cve.mitre.org/

http://www.cve.mitre.org/



Il fattore umanoAggiornamento dei sistemi operativi


Furto di informazioni da dispositivi di utente mobile

Il problema dell'aumento dei dispositivi mobili.

Problematiche analoghe a quelle già viste in precedenza


Attacchi alla sicurezza fisica dei sistemi ICT e delle infrastrutture a loro supporto


Attacchi APT – advanced persistent threats – e TA – Targeted Attacks

Più tecniche sofisticate di attacco

Il rischio Malvertising: si tratta di pubblicità malevola, nel senso di pagine web che nascondono un codice maligno o altre tecniche di attacco, come il dirottamento su siti web mascherati e pericolosi

Gli attacchi watering hole: una volta connesso al sito già manipolato dall'attaccante, il browser, il dispositivo dell'utente e la sessione con il sito web sono a loro volta attaccati per carpire informazioni dell'utente, tipicamente le sue identità digitali utili a compiere frodi


La prevenzione degli attacchi informatici: policy aziendale e problematiche giuridiche


Le linee guida del Garante privacy su posta elettronica ed Internet (!° marzo 2007)


a) compete ai datori di lavoro assicurare la funzionalità e il corretto impiego di tali mezzi da parte dei lavoratori, definendone le modalità d'uso nell'organizzazione dell'attività lavorativa, tenendo conto della disciplina in tema di diritti e relazioni sindacali; b) spetta ad essi adottare idonee misure di sicurezza per assicurare la disponibilità e l'integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità

I crimini informatici e l'aziendac) emerge l'esigenza di tutelare i lavoratori interessati anche perché l'utilizzazione dei predetti mezzi, già ampiamente diffusi nel contesto lavorativo, è destinata ad un rapido incremento in numerose attività svolte anche fuori della sede lavorativa; d) l'utilizzo di Internet da parte dei lavoratori può infatti formare oggetto di analisi, profilazione e integrale ricostruzione mediante elaborazione di log file della navigazione web ottenuti, ad esempio, da un proxy server o da un altro strumento di registrazione delle informazioni. I servizi di posta elettronica sono parimenti suscettibili (anche attraverso la tenuta di log file di traffico e-mail e l'archiviazione di messaggi) di controlli che possono giungere fino alla conoscenza da parte del datore di lavoro (titolare del trattamento) del contenuto della corrispondenza; e) le informazioni così trattate contengono dati personali anche sensibili riguardanti lavoratori o terzi, identificati o identificabili.


In questo quadro, può risultare opportuno adottare un disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente


• se determinati comportamenti non sono tollerati rispetto alla "navigazione" in Internet (ad es., il download di software o di file musicali), oppure alla tenuta di file nella rete interna; • in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l'arco temporale di utilizzo (ad es., fuori dall'orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);

I crimini informatici e l'azienda• quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all'esterno) vi può accedere legittimamente; • se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log ); • se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime –specifiche e non generiche– per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);


Vietato il trattamento di dati personali del dipendente ricavati da file e documenti acquisiti nell'ambito di operazioni di backup effettuate sul server aziendale - Provvedimento Garante Privacy del 7 aprile 2011


Contestazione: impiego del computer –sin dalla data di assunzione dell'interessata e durante l'orario di lavoro– per finalità non riconducibili all'attività istituzionale della società e, più precisamente, per svolgere attività di consulenza a vantaggio di terzi. Di tale attività la società sarebbe venuta a conoscenza nell'ambito di un presunto "controllo" che alcuni esponenti aziendali avrebbero effettuato "in modo assolutamente occulto e con modalità non dichiarate" sul computer in uso all'interessata e sui file ivi contenuti, presenti in una cartella che la stessa reclamante aveva qualificato come "personale"


Osservazioni: la reclamante ha precisato che la società non avrebbe adottato alcuna specifica policy volta a disciplinare, in forma chiara e puntuale, l'utilizzo degli strumenti elettronici affidati in dotazione ai dipendenti, ma si sarebbe limitata a redigere un regolamento interno contenente alcune "norme di comportamento" da osservare ai fini del "corretto e regolare svolgimento dell'attività" lavorativa.


Con comunicazioni del 3 marzo 2010 e del 30 aprile 2010, la società ha fatto pervenire le proprie osservazioni, rappresentando preliminarmente che l'acquisizione dei documenti citati dalla reclamante sarebbe avvenuto "accidentalmente" –e non in forma occulta come sostenuto da quest'ultima– "al momento di eliminare i backup [..] relativi al 2008"


Decisione del Garante: tale attività, però, risulta compiuta senza che fosse stata fornita ai dipendenti –e quindi neanche all'odierna reclamante- un'idonea e preventiva informativa sul punto (art. 13 del Codice)


Provvedimento Garante privacy avente ad oggetto Trattamento effettuato sulle e-mail di dipendenti ed ex dipendenti - 30 luglio 2015


Il reclamo: a) persistente operatività, successivamente alla risoluzione del rapporto di lavoro con la società, degli account di posta elettronica loro assegnati anche attraverso il reindirizzo dei medesimi "presso un utente dell'azienda", con il conseguente trattamento di "informazioni personali degli esponenti, sulle quali gli [stessi] avevano la legittima aspettativa di segretezza" (cfr. reclamo 4.3.2014, p. 2 e 3);b. all'aver appreso solo in occasione della produzione in un giudizio civile di un significativo numero di e-mail da parte della società che quest'ultima aveva avuto accesso ai messaggi di posta elettronica in transito sui menzionati account


Osservazioni della società: essendo la struttura "di dimensioni medio-piccole, […] i dipendenti e i collaboratori interni sono a conoscenza del funzionamento dei sistemi IT, del salvataggio delle e-mail sui server aziendali e della conseguente possibilità di controllo delle e-mail per la tutela del patrimonio aziendale. Ciò considerato la società non ha diramato un documento scritto a tale proposito"


Decisione del Garante: la società non ha adottato e reso noto alcun disciplinare (o analogo documento informativo) sull'utilizzo della posta elettronica aziendale, in applicazione del principio di correttezza in base al quale le caratteristiche essenziali dei trattamenti devono essere preventivamente rese note ai lavoratori, in particolare se effettuati per finalità di controllo (art. 11, comma 1, lett. a), del Codice).


Decisione del Garante: Con riferimento ai trattamenti effettuati sulla posta elettronica aziendale dopo la cessazione del rapporto di lavoro, si ritiene che, in conformità ai principi in materia di protezione dei dati personali, gli account riconducibili a persone identificate o identificabili debbano essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all'attività professionale del titolare del trattamento (e non, come correttamente osservato dalla società, eventuali account privati riferiti agli ex dipendenti).


Raccomandazione del Consiglio d'Europa CM/Rec(2015)5 sul trattamento dei dati personali nel contesto occupazionale


La sentenza della CEDU del 12 dicembre 2015 e L'intervento del Garante privacy del 13 gennaio 2016


Art. 4 dello Statuto dei lavoratori (dopo la riforma operata con decreto legislativo n. 151/2015)


1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilita' di controllo a distanza dell'attivita' dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.


2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze


3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalita' d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.


Giurisprudenza su controllo del lavoratore dipendente


Cassazione civile 2531/2016La possibilità di una visualizzazione delle operazioni del dipendente in qualsiasi momento il direttore ritenga opportuno procedervi, grazie al sistema informatico di rilevazione automatica in tempo reale delle operazioni di sportello ("giornale di fondo"), rientra nel genere di controllo di cui al secondo comma dell'art. 4 legge n. 300 del 1970, richiedendo pertanto la procedura prevista dall'articolo citato. Si tratta, infatti, di di un sistema adottato per soddisfare esigenze aziendali, ma che consente anche il controllo a distanza dei lavoratori addetti allo sportello.


Cassazione civile 10955/2015È conforme a correttezza e buona fede nell’esecuzione del rapporto di lavoro ed è legittimo anche in assenza di accordo sindacale o autorizzazione, ricadendo al di fuori dell’ambito applicativo dell’art. 4 l. n. 300 del 1970, il controllo attuato attraverso la creazione di un profilo falso su social network ed il suo successivo utilizzo e volto all’accertamento di un comportamento illecito del dipendente. La creazione da parte del datore di lavoro di un falso profilo "facebook" attraverso il quale "chattare" con il lavoratore al fine di verificare l'uso da parte dello stesso del telefono cellulare durante l'orario di lavoro, esula dal campo di applicazione dell'art. 4 della legge 20 maggio 1970, n. 300, trattandosi di un'attività di controllo che non ha ad oggetto l'attività lavorativa ed il suo esatto adempimento ma l'eventuale perpetrazione di comportamenti illeciti da parte del dipendente, idonei a ledere il patrimonio aziendale sotto il profilo del regolare funzionamento e della sicurezza degli impianti. (Nella specie il lavoratore era già stato in precedenza sorpreso al telefono, lontano dalla pressa cui era addetto, che, rimasta incustodita per oltre dieci minuti, si era bloccata).


La denuncia degli attacchi informatici: valutazioni


I modelli di organizzazione e di gestione della legge n. 231/2001 in riferimento ai reati informatici


I presupposti di applicabilità della legge n. 231/2001

● La condotta criminosa commessa nell'interesse o a vantaggio dell'ente

● La condotta criminosa commessa da ● art. 5 comma 1 lett. a) persone che rivestono funzioni di rappresentanza,

di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale

● art. 5 comma 1 lett. a) persone che esercitano, anche di fatto, la gestione e il controllo dello stesso

● art. 5 comma 1 lett. b) persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a).


I reati informatici presupposto di applicabilità della legge n. 231/2001

Artt. 640 ter, 640 quinquies, 615 ter, 615 quater, 615 quinquies, 617 quater, 617 quinquies, 623 bis, 635 ter, 635 quater, 635 quinquies, 491 bis

I crimini informatici e l'aziendaI modelli di organizzazione e di gestione della legge n. 231/2001

Per i fatti commessi dalle persone indicate nell'art. 5 comma 1 lettera a) l'ente non risponde se:

a) l'organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;b) il compito di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo;c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;d) non vi è stata omessa o insufficiente vigilanza da parte dell'organismo di cui alla lettera b).


I modelli di organizzazione e di gestione della legge n. 231/2001

Per i fatti commessi dalle persone indicate nell'art. 5 comma 1 lettera b) l'ente é responsabile se la commissione del reato è stata resa possibile dall'inosservanza degli obblighi di direzione o vigilanzaNon sussiste inosservanza degli obblighi di direzione o vigilanza se l'ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi.


Contenuto dei modelli di organizzazione e di gestione della legge n. 231/2001

a) individuare le attività nel cui ambito possono essere commessi reati;b) prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire;c) individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;d) prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli;e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.


La Decisione quadro 2005/222/GAI

La Direttiva 2013/40/UE

I crimini informatici e l'azienda

Law

Transcript of I crimini informatici e l'azienda