INFORMATION RISK MANAGEMENT D.Lgs. 231 e reati … · D.Lgs. 231 e reati informatici, strumenti e...

D.Lgs. 231 e reati informatici, strumenti

e modelli di controllo integratiConvegno AIEA

Roma, 3 marzo 2010

INFORMATION RISK MANAGEMENT

ADVISORY

1

© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative

(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.

Agenda

Introduzione

Il D.Lgs. 231/2001

I reati informatici

Modelli e strumenti di controllo

Approccio metodologico e best

practice

Privacy e D.Lgs.231

2



L’evoluzione della normativa societaria

In generale, la produzione normativa degli ultimi anni, e quindi anche il D.Lgs. 231/01, ha

posto particolare enfasi sull’adeguatezza del sistema di controllo interno aziendale e

quindi sulla capacità da parte degli organi societari di definire adeguati sistemi di controllo che

garantiscano il rispetto delle politiche e procedure aziendali da un lato e dall‟altro il

raggiungimento degli obiettivi prefissati.

Introduzione

3



Introduzione

La ‘ragnatela normativa’ si è complicata dal 2003 ad oggi.

Legge sul

risparmio

Sarbanes

Oxley Act

Codici di

Comportamento

Certificazione

Qualità

Basilea 2

e sistema

Bancario

Borsa e

Mercati

Finanziari

Organi di

Vigilanza Ambiente

Market

Abuse

Internal

Dealing

IAS

IFRS

Privacy

L. 626/94

D.Lgs. 231/01

Evoluzione

Norme

Tributarie

Riforma

Diritto

Societario

20032005

20012002

2005

2003

2002

2003

20041990-

2003

2006

2004

2006

Antiriciclaggio

2007

DAFC/CFO

4



Agenda

Introduzione

Il D.Lgs. 231/2001

I reati informatici



practice

Privacy e D.Lgs.231

5



Il D.Lgs. 231/2001

La responsabilità amministrativa degli enti

A norma del D.Lgs. 8 giugno 2001, n. 231 (di seguito „Decreto‟), le società sono passibili di

responsabilità amministrativa per i reati commessi a loro vantaggio o nel loro interesse da:

persone che rivestono funzioni di rappresentanza, amministrazione o direzione dell‟ente o

da chi esercita, anche di fatto, funzioni di direzione e controllo

persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto

precedente

La responsabilità in sede penale degli enti si aggiunge a quella delle persone fisiche

che li rappresentano e che materialmente hanno realizzato l’illecito.

6



La Responsabilità Amministrativa degli enti in sede penale, si aggiunge a quella della persona

fisica che ha materialmente realizzato il fatto illecito. E‟ da precisare che la responsabilità

sorge in occasione della realizzazione di determinati tipi di reati commessi da parte di

soggetti legati a vario titolo all‟ente e solo nelle ipotesi che la condotta illecita sia stata

realizzata nell’interesse o a vantaggio di esso.

Reato

Il reato rientra nella tipologia prevista

dalla 231

Il reato è nell‟interesse e/o

vantaggio dell‟ente

Responsabilità

Amministrativa

Responsabilità

Penale

Persona Fisica

Ente

Il D.Lgs. 231/2001

7



L’esimente della responsabilità

L„esimente dalla responsabilità dell‟ente, offerta dal Decreto, si realizza se lo stesso è in

grado di provare:

che ha preventivamente adottato ed efficacemente attuato modelli organizzativi e di

gestione idonei a individuare e prevenire reati della specie di quello verificatosi

che ha affidato ad un proprio organismo (Organismo di Vigilanza) - dotato di autonomi

poteri di iniziativa e di controllo - il compito di vigilare sul funzionamento e l‟osservanza dei

modelli e di curarne il loro aggiornamento

la violazione fraudolenta dei modelli da parte degli autori del reato

la diligenza dell’Organismo di Vigilanza e dei soggetti incaricati della gestione e del

controllo.

Il D.Lgs. 231/2001

8



1 Mappatura Processi „a rischio‟

2 Elenco rischi potenziali per

processo

3 Analisi del sistema di controllo

preventivo

4 Valutazione dei rischi residui

5 Adeguamento sistema di

controllo preventivo

Pro

ce

sso

di

Ris

k m

an

ag

em

en

tL‟ente deve:

aver preventivamente adottato ed

efficacemente attuato modelli

organizzativi e di gestione idonei ad

individuare e prevenire reati;

aver implementato un organismo con

il compito di vigilare sul

funzionamento e l‟osservanza dei

modelli e di curarne il loro

aggiornamento;

dimostrare la diligenza dell’organismo

di vigilanza e dei soggetti incaricati della

gestione e del controllo.

Codice Etico Sistema Org.vo

Procedure Manuali ed Informatiche

Comunicazione al personale

Poteri Autorizzativi di firma

Sistema di controllo

Il M.O.G.C. (Modello di Organizzazione Gestione e Controllo) quale esimente della responsabilità

dell’ente.

Un modello organizzativo è un complesso di regole, strumenti e condotte finalizzato a dotare l‟Ente:

di un efficace sistema organizzativo e di gestione

(ragionevolmente) idoneo a individuare e prevenire le condotte penalmente rilevanti poste in essere dall‟Ente stesso o

dai soggetti sottoposti alla sua direzione e/o vigilanza.

Il D.Lgs. 231/2001

Linee GuidaAdempimenti organizzativi

9



Le misure sanzionatorie

Le misure sanzionatorie previste dal Decreto sono:

Sanzione pecuniaria, da €25.823 a €1.549.371

Sanzione interdittiva, della durata compresa tra 3 mesi e 2 anni:

interdizione dall‟esercizio dell‟attività

sospensione o revoca delle autorizzazioni, licenze o concessioni

divieto di contrattare con la PA

esclusione da agevolazioni, finanziamenti, contributi o sussidi e revoca di quelli concessi

divieto di pubblicizzare beni o servizi

Confisca del profitto ottenuto e pubblicazione della sentenza.

Il D.Lgs. 231/2001

10



(*) La legge 16 marzo 2006, n. 146 (pubblicata sulla Gazzetta Ufficiale n. 85 dell’11 aprile 2006) ratifica e dà esecuzione alla Convenzione ed ai Protocolli

delle Nazioni Unite contro il crimine organizzato transnazionale.

Il D.Lgs. 231/2001

Le fattispecie di reato rilevanti sono comprese nelle seguenti categorie:

delitti contro la pubblica amministrazione (artt. 24 e 25 del Decreto)

reati informatici (Art. 24-bis del Decreto)

delitti di criminalità organizzata (Art. 24-ter del Decreto)

falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento (art. 25-bis del

Decreto)

delitti contro l‟industria e il commercio (art. 25-bis 1 del Decreto)

reati societari (art. 25-ter del Decreto)

delitti con finalità di terrorismo ed eversione dell‟ordine democratico (Art. 25-quater del Decreto)

delitti contro la personalità individuale (art. 25-quater 1 e art. 25-quinquies del Decreto)

abusi di mercato (Art. 25-sexies del Decreto)

salute e sicurezza sul lavoro (art. 25-septies del Decreto)

reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (Art. 25-opties del Decreto)

delitti in materia di violazione del diritto d‟autore (art. 25-novies del Decreto)

induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria (art. 25 novies del

Decreto)

reati transnazionali (Art. 10 - Legge 16 Marzo 2006 n.146)*.

11



Agenda

Introduzione

Il D.Lgs. 231/2001

I reati informatici



practice

Privacy e D.Lgs.231

12



Per crimine informatico intendiamo ogni comportamento previsto e punito dal codice

penale o da leggi speciali in cui qualsiasi strumento informatico o telematico rappresenti un

elemento determinante ai fini della qualificazione del fatto di reato

Si utilizza il termine ‘reato informatico’ per indicare qualsiasi condotta realizzata per

mezzo delle nuove tecnologie o comunque rivolta contro i beni informatici, sanzionata

dall‟ordinamento penale. Può essere considerato reato informatico tanto la frode

commessa attraverso il computer che il danneggiamento del sistema informatico

Una definizione „dottrinaria‟ di crimine informatico è:

crimine nel quale un sistema di elaborazione o una sua parte ricopre uno dei seguenti ruoli:

oggetto (ciò include la distruzione o la manipolazione dell‟elaboratore, dei dati e dei

programmi in esso contenuti e delle relative apparecchiature di supporto)

soggetto (quando l‟elaboratore è il luogo, il motivo o la fonte del crimine)

strumento (quando ciò che avviene in relazione all‟elaborazione non è di per sé

illegale, ma serve a commettere crimini di altro tipo, es. sabotaggio). In pratica un

sistema di elaborazione, o ciò che viene prodotto dall‟elaboratore, è usato come mezzo

per compiere frodi, sabotaggi, falsificazioni.

I reati informatici

13



L’art.7, L. 18.03.2008, n.48 (‘Ratifica ed esecuzione della Convenzione del Consiglio

d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di

adeguamento dell’ordinamento interno’) pubblicata in G.U. n. 80 del 4 aprile 2008 ha

introdotto l‟art. 24-bis all‟interno del Decreto il quale:

recepisce l‟art. 491-bis c.p. che, a sua volta, estende le ipotesi di falsità in atti di cui al

Libro II, Titolo VII, Capo III c.p. a tutte le fattispecie delittuose in cui una o più delle suddette

falsità abbia ad oggetto un c.d. ‘documento informatico’

introduce all‟interno del Decreto alcune ipotesi di reato in materia di criminalità

informatica, già disciplinate all‟interno del Codice Penale.

I reati informatici

14



I reati informatici

Art. 615-ter: Accesso abusivo ad un sistema informatico o telematico

Art. 615-quarter: Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o telematici

Art. 615-quinquies: Diffusione di apparecchiature, dispositivi o programmi informatici diretti a

danneggiare o interrompere un sistema informativo o telematico

Art. 617-quarter: Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o

telematiche

Art. 617-quinquies: Installazione di apparecchiature atte ad intercettare, impedire od interrompere

comunicazioni informatiche o telematiche

Art. 635-bis: Danneggiamento di informazioni, dati e programmi informatici

Art. 635-ter: Danneggiamento di informazioni, dati e programmi informatici utilizzati

dallo Stato o da altro ente pubblico o comunque di pubblica utilità

Art. 635-quarter: Danneggiamento di sistemi informatici o telematici

Art. 635-quinquies: Danneggiamento di sistemi informatici o telematici di pubblica utilità

Art. 640-quinquies: Frode informatica del soggetto che presta servizi di certificazione di firma elettronica

Art. 491-bis: Falsità di documenti informatici.

15



I reati informatici

Reato Condotta Ipotesi di reato

ART. 615-ter

‘Accesso abusivo ad un

sistema informatico o

Telematico’

Punisce la condotta di chi si introduce

abusivamente, ossia eludendo una qualsiasi forma,

anche minima, di barriere ostative all‟accesso, in un

sistema informatico o telematico protetto da misure

di sicurezza, ovvero vi si mantiene contro la volontà

di chi a diritto di escluderlo.

Soggetti che si introducono nel sistema

informatico della Società per effettuare

operazioni che portino un interesse o

vantaggio per la Società (diminuzione

del credito dei clienti, maggiorazione

dei costi dei servizi erogati, fatturazione

di servizi non richiesti).

Soggetti si introducono abusivamente

in sistemi informatici esterni al fine di

procurare un interesse o vantaggio alla

Società. Ad esempio:

accesso abusivo nel sistema

informatico di un concorrente al fine

di conoscere l'offerta economica

presentata per la partecipazione alla

gara di appalto;

accesso abusivo nel sistema

informatico di un concorrente al fine

di conoscere il portafoglio clienti.

Es. Protocolli di controllo

Definizione di una Politica sulla sicurezza delle informazioni come la gestione

e uso delle password, le modalità di effettuazione dei log-in e log-out, l'uso

della posta elettronica, le modalità di utilizzo dei supporti rimovibili, l'uso dei

sistemi di protezione (antivirus, spam, phishing, spy)

Inventario aggiornato dell'hardware e del software in uso agli utenti

Procedure formali per l‟assegnazione di privilegi speciali (ad es.

amministratori di sistema, super-user)

Tracciamento degli accessi degli utenti alla rete aziendale

Controlli sugli accessi agli applicativi effettuati dagli utenti

Tracciamento e monitoraggio degli eventi di sicurezza sulla rete.

16



Agenda

Introduzione

Il D.Lgs. 231/2001

I reati informatici



practice

Privacy e D.Lgs.231

17




In seguito all’introduzione dei crimini informatici tra quelli previsti dal D.Lgs. 231/2001,

gli enti dovranno adottare modelli e strumenti concreti di organizzazione, gestione,

monitoraggio e controllo al fine di:

garantire la protezione del patrimonio informativo

assicurare il corretto utilizzo delle risorse tecnologiche

disporre di evidenze che documentino l‟efficacia dei controlli implementati.

Dovranno essere predisposte preventive ed idonee misure di sicurezza e di controllo

per prevenire potenziali reati informatici mediante l’ausilio di strumenti tecnologici

18




L’ente non risponde dei reati informatici compiuti attraverso l’utilizzo dei propri sistemi

informatici se e solo se prova:

di avere adottato e attuato efficacemente modelli di gestione idonei a prevenire il reato

di avere affidato ad un organismo dotato di autonomi poteri d‟iniziativa e di controllo, la

vigilanza e l‟aggiornamento di tali modelli

l‟elusione fraudolenta di tali modelli di organizzazione e gestione.

19




Principi di controllo:

Separazione dei ruoli

Sistemi autorizzativi (processi, procedure e meccanismi tecnici)

Sistemi di controllo degli accessi (processi, procedure e meccanismi tecnici)

Tracciamento delle attività svolte sui sistemi/sulla rete

Monitoraggio ed esecuzione di verifiche periodiche

Documentazione dei controlli adottati e conservazione delle evidenze raccolte

Gestione degli incidenti di sicurezza

Formazione e sensibilizzazione del personale.

20



Norme Cogenti

(Leggi - Decreti Legislativi

Provvedimenti - Delibere)

Policy

Linee Guida di Gruppo

Manuali e Istruzioni di Lavoro

Linee Guida

Procedure Operative

Procedure

Organizzative

Procedure Organizzative DirezionaliLinee Guida Tecniche

Policy Generali di Gruppo

Perché

Normative emesse

da Funzioni

Centrali

Cosa

Come

Normative

emesse da

BU

Framework Procedurale

Standard e CertificazioniProcedure di Sistema

Qualità

Policy e procedure di sicurezza


21



Quantity

Automated

Manual

Preventive

Detective

I controlli perdono di significato se non

sono associati ad obiettivi specifici


Controlli di sicurezza

I controlli rappresentano uno strumento per

gestire e mitigare i rischi:

un controllo può consistere in una attività –

manuale o automatica – in grado di

validare le informazioni e garantire il

governo del contesto operativo

un controllo può essere incorporato

all‟interno dei processi e dei sistemi IT, al

fine di supportare una corretta gestione dei

rischi.

22



Agenda

Introduzione

Il D.Lgs. 231/2001

I reati informatici



practice

Privacy e D.Lgs.231

23



Approccio metodologico e best practice

Analisi

preliminare

Risk Self

Assessment e

Gap Analysis

Attuazione

Richiesta, raccolta e analisi

della documentazione

Analisi dell‟ambiente aziendale,

delle attività della società e ella

relativa struttura organizzativa

Interviste preliminari con il

management per

l‟individuazione delle attività

sensibili e delle aree di rischio

Interviste con il management

responsabile delle aree

sensibili individuate.

Control Risk Self Assessment

ai fini della quantificazione dei

rischi e dell‟identificazione dei

controlli per ciascuna attività

sensibile.

Gap Analysis tra il sistema di

controllo interno rilevato e il

“desiderato” come confronto

rispetto alle Best Practices.

Aggiornamento o

predisposizione di:

modello

procedure relative attività

a rischio di reato

codice etico

criteri di formazione e

modalità operative

dell‟OdV

attività di formazione e

informazione

Fasi

Attività

Principali

Mappatura preliminare delle

attività sensibili

Individuazione soggetti da

intervistare e destinatari

questionari

Mappatura delle aree a rischio

Gap analysis

Piano di lavoro per le azioni

migliorative o del sistema di

controllo interno

Parti speciali del Modello

Deliverables

24




Rischio

potenzialeControllo

Rischio

residuoAttività sensibile

Gestione di accessi, account e profili

Gestione delle reti di telecomunicazioni

Gestione dei sistemi software

Gestione dei sistemi hardware

Gestione degli accessi fisici ai siti ove risiedono le infrastrutture IT

Gestione della documentazione in formato digitale

Rischio potenziale e residuo

Rischio alto

Rischio medio

Rischio basso

Controllo

Controllo carente

Controllo medio

Controllo buono

Autovalutazione dei rischi e dei controlli

25




Matrice attività di controllo/reati

26



Punti di attenzione

Identificazione e mappatura delle attività sensibili

Modello di valutazione dei rischi:

Valutazione dei rischi di sicurezza

Valutazione delle attività di controllo.

Modelli di controllo per i crimini informatici:

Processi

Policy e Procedure

Controlli di sicurezza da implementare/monitorare.


27




Sicurezza delle informazioni - Una visione integrata

Business

IT

La sicurezza delle informazioni è

strettamente connessa a tutti gli

aspetti legati:

al business

all‟infrastruttura tecnologica

Inoltre rappresenta un requisito

necessario a tutti i livelli di ogni

organizzazione

Sicurezza

Sicurezza

Sicurezza

Sicurezza

Sicurezza

Strategia

Persone

Processi e organizzazione

Tecnologia

Infrastrutture

28




Sicurezza delle informazioni - Un modello di gestione integrata

Gestione integrata

della sicurezza

Processi

Processi operativi e di supporto

Organizzazione delle attività

Ruoli e responsabilità

Infrastrutture

Protezione del perimetro

aziendale e controllo degli accessi

Sistemi di sicurezza

Analisi dei rischi

Protezione infrastrutture critiche

Tecnologia

Analisi dei rischi

Protezione delle informazioni

Security Operations

Computer/Network security

Procedure e pratiche di security

Gestione e controllo degli accessi

Persone

Formazione e sensibilizzazione

Procedure per le risorse umane

Report degli incidenti

Fornitori

Audit periodici

Integrità ed etica

29



Sicurezza delle informazioni – Standard di riferimento

Lo standard ISO 27001 (Information security management systems – Requirements) è

comunemente adottato a livello internazionale per l‟implementazione di sistemi di gestione

della sicurezza delle informazioni e la loro eventuale certificazione, e fornisce indicazioni in

merito alle seguenti aree di controllo:


Security Policy

Organization of information security

Asset management

Human resources security

Physical and environmental security

Communications and operations

management.

Access Control

Information systems acquisition,

development and maintenance

Information security incident management

Business Continuity management

Compliance.

30




Focus su:

Strategie

Organizzazione

Processi

Policy e procedure

Corporate

Governance

IS

Governance

Business

Information

Systems

Necessari per:

Controllo e gestione dei rischi

Compliance alle normative

Misurazione delle performance

Creazione di valore

IT

Governance

IT Governance – Elementi fondamentali

31



IT Governance – standard di riferimento

COBIT (Control Objectives for Information and related Technology): è un insieme di

pubblicazioni che definiscono un modello di riferimento e delle best practice per l‟ IT control e l‟

IT Governance


Sistema di

Controllo IT

Modello CobiT in cui gli obiettivi di controllo sono

organizzati secondo diverse dimensioni:

Requisiti di business

Tipologie di risorse IT

Processi.

32



Agenda

Introduzione

Il D.Lgs. 231/2001

I reati informatici



practice

Privacy e D.Lgs.231

33



Privacy e D.Lgs.231

La normativa Privacy (D.Lgs. 196/2003) copre l‟intero ambito dei processi aziendali e, se

implementata correttamente e mantenuta costantemente, offre strumenti utili per prevenire e

provare gli illeciti di cui alla disciplina del D.Lgs. 231/2001.

L‟applicazione delle misure di sicurezza richieste dalla normativa Privacy è fondamentale per

l‟adeguamento al sistema 231 per poter gestire una serie di rischi (accessi non autorizzati,

trattamenti illeciti, ecc.).

34



Privacy e D.Lgs.231

Decreto Legislativo 196/2003 ‘Codice in materia di protezione dei dati personali’:

il tema della Privacy è correlato al corretto trattamento ed alla protezione dei dati

personali relativi a persone fisiche o giuridiche

la gestione di tali aspetti si realizza attraverso l‟individuazione degli adempimenti previsti

dal Testo Unico Privacy, valutando i rischi principali e le contromisure di sicurezza

necessarie.

Sicurezza

D.Lgs. 196/03

Adempimenti legali

Analisi dei rischi

DPS

Misure minime di

sicurezza

Rilevazione e

analisi di dati e

processi

Gestione

integrata

della Privacy

e della sicurezza

delle informazioni

Privacy

35



Privacy e D.Lgs.231

Adempimenti

formali

Gestione delle informative e dei consensi nei confronti di: clienti, dipendenti, fornitori,

eventuali ulteriori interessati di cui vengano acquisiti i dati personali

Nomina degli incaricati ai trattamenti (e dei responsabili laddove definiti)

Notificazione all‟Autorità Garante di particolari trattamenti

Gestione richieste autorizzazioni generali all‟Autorità Garante di trattamenti di dati

personali sensibili/giudiziari

Riscontro all‟interessato

Nomina dei responsabili esterni e definizione delle modalità di verifica

Redazione ed aggiornamento del DPS (e sua inclusione nella relazione

accompagnatoria del bilancio annuale)

Adempimenti

di sicurezza

Adozione delle misure minime di sicurezza per i trattamenti di dati personali effettuati con

strumenti elettronici (sistemi di autenticazione, di autorizzazione, antivirus, backup …

Adozione delle misure minime di sicurezza per i trattamenti di dati personali effettuati con

supporti cartacei (procedure di controllo degli accessi, …)

Realizzazione di attività formative per gli incaricati

Realizzazione di attività di sicurezza a supporto della redazione del DPS (analisi dei

rischi periodica (almeno annuale) sui trattamenti dei dati personali effettuati, attività di

audit volte ad individuare aree di scopertura, pianificazione delle misure di sicurezza da

adottare …)

I principali adempimenti Privacy

36



Privacy e D.Lgs.231

Il modello di gestione della Privacy

Governo e

gestione della

compliance alla

Privacy

Monitoraggio della normativa nazionale

ed internazionale applicabile al contesto

aziendale

Adozione delle azioni di rimedio per

garantire la conformità alla normativa

Identificazione delle aree di non

conformità/di miglioramento degli aspetti

di sicurezza

Legal

Legal

Fz Businss

IT/Security

HR

Audit dell‟adozione degli adempimenti

formali e di quelli di sicurezza

Audit

Fz. di controllo

Legal

Fz Businss

IT/Security

HR

Legal Fz

Businss

IT/Security

HR

Analisi periodica dei rischi correlati

ai dati personali trattati IT/Security

Legal

Audit/Fz. di controllo

Emissione linee guida/policy/procedure

ambito privacy

Adozione delle misure per adeguamento

ad adempimenti di sicurezza

Adozione delle misure per adeguamento

ad adempimenti di sicurezza nelle attività

di business

Legal

Fz Businss

IT/Security

HR

Identificazione delle misure e delle azioni

da adottare per garantire la conformità

Censimento dei trattamenti dei dati

personali

37



Privacy e D.Lgs.231

Possibili punti di integrazione:

Modelli organizzativi

Processi e procedure

Approcci e modelli di valutazione dei rischi – DPS

Disciplinare utilizzo posta elettronica e internet (linee guida del Garante del marzo 2007)

Formazione del personale

Rapporti con l‟OdV (protezione della documentazione, protezione dei flussi informativi,

rapporti con i responsabili Privacy, poteri di accesso alle banche dati, ecc.).

Laura Quaroni

Project Leader

IT Advisory

+39 348 8289009

[email protected]

www.kpmg.it

INFORMATION RISK MANAGEMENT D.Lgs. 231 e reati … · D.Lgs. 231 e reati informatici, strumenti e...

Documents

Transcript of INFORMATION RISK MANAGEMENT D.Lgs. 231 e reati … · D.Lgs. 231 e reati informatici, strumenti e...