La responsabilità dell’azienda per i reati informatici commessi al suo interno: project...

La responsabilità dell’azienda per i reati informatici commessi al suo interno: project

Titolo della presentazionePaolo Galdieri

interno: project management, information security e le sfide imposte dalle nuove tecnologie

Il reato informatico in azienda ieri

• Centri di calcolo chiusi

• Automazione di singole attività

• Patrimonio aziendale non ancora dematerializzato

Titolo della presentazione

• Insufficienti informazioni sull'entità del fenomeno

• Ritrosia a denunciare il reato subito

La responsabilità dell’azienda per i reati informatici commessi al suo interno:

project management, information security e le sfide imposte dalle nuove tecnologie

Il reato informatico in azienda oggi

• Centri di calcolo aperti

• Automazione di tutte le attività

• Patrimonio aziendale dematerializzato


• Legislazione sulla criminalità informatica



Legislazione sulla criminalità informatica

• Legge 23 dicembre 1993 n. 547

• Legge 18 marzo 2008 n. 48

• Legge 3 agosto 1998 n. 269


• Legge 6 febbraio 2006 n. 38



I costi del reato informatico

• Risorse informatiche

• Patrimonio dell'azienda

• Immagine

Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:


Strategie di contrasto

• Sicurezza

• Tutela assicurativa

• Tutela giuridica



Tutela assicurativa (rischi)

• Attrezzature

• Dati, archivi, programmi

• Perdita di attività


• Responsabilità civile verso terzi

• Altri danni



Tutela assicurativa

• Polizza tradizionale

• Polizza "all risks" per l'informatica

• Polizza "computer crime"



Tutela giuridica

• Ricorso all'autorità giudiziaria penale per il reato subito

• Prevenzione da rischio coinvolgimento penale dell'azienda



Ricorso all'autorità giudiziaria penale per il reato subito

• Valutazione preliminare dei seguenti elementi:

• Prove idonee a dimostrare responsabilità autore, danno subito,

competenza giurisdizionale;

• Danno all'immagine conseguente alla pubblicizzazione del procedimento;


• Danno all'immagine conseguente alla pubblicizzazione del procedimento;

• Tempi del processo penale;

• Danno effettivamente risarcibile in sede penale



Responsabilità penale dell'azienda per reato commesso dal

dipendente

• Delitti commissivi dolosi

• Violazione dell'obbligo di impedire l'evento antigiuridico (art. 40)

• Culpa in eligendo


• Culpa in vigilando



Responsabilità amministrativa dell'azienda per reato

commesso dai vertici o dai dipendenti

• Legge 18 marzo 2008 n. 48 che ratifica Convenzione di Budapest sulla

criminalità informatica

• Art. 7 (che introduce art. 24 bis del D. Lgs. 231/2001) estende la

responsabilità amministrativa all’azienda per i reati commessi da vertici e

dipendenti


dipendenti

• Art. 240 comma 1 bis c.p. (introdotto dalla Legge n. 12 del 15 febbraio

2012) che prevede la confisca obbligatoria di tutti i beni e strumenti

informatici o telematici utilizzati per la commissione della quasi totalità

dei reati informatici



I reati informatici previsti oggi dal D. Lgs. 231/2001

Falsità in documenti informatici (art. 491-bis cod. pen.)

• Es. falsificazione di documenti aziendali oggetto di flussi informatizzati




Accesso abusivo ad un sistema informatico o telematico (art. 615-ter cod.

pen.)

• Es. accesso abusivo ai sistemi informatici di proprietà di terzi, per

prendere cognizione di dati riservati altrui nell’ambito di una negoziazione

commerciale


commerciale




Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o

telematici (art. 615-quater cod. pen.)

• Es. comunicazione senza autorizzazione a terzi di dispositivi di cui ha

legittimamente il possesso


• Es. dipendente della società che comunichi ad un altro soggetto la

password di accesso alle caselle e-mail di un proprio collega, allo scopo di

garantirgli la possibilità di controllare le attività svolte




Diffusione di apparecchiature, dispositivi o programmi informatici diretti a

danneggiare o interrompere un sistema informatico o telematico (art.

615-quinquies cod. pen.)

• Es. dipendente che si procuri un Virus idoneo a danneggiare o ad

interrompere il funzionamento del sistema informatico aziendale in modo


interrompere il funzionamento del sistema informatico aziendale in modo

da distruggere documenti “sensibili” in relazione ad un procedimento

penale a carico della società




Intercettazione, impedimento o interruzione illecita di comunicazioni

informatiche o telematiche (art. 617-quater cod. pen.)

• Es. dipendente che impedisca una determinata comunicazione in via

informatica al fine di evitare che un’impresa concorrente trasmetta i dati

e/o l’offerta per la partecipazione ad una gara


e/o l’offerta per la partecipazione ad una gara




Installazione di apparecchiature atte ad intercettare, impedire o

interrompere comunicazioni informatiche o telematiche (art. 617-

quinquies cod. pen.)

• Es. dipendente che si introduca fraudolentemente presso la sede di una

potenziale controparte commerciale al fine di installare apparecchiature


potenziale controparte commerciale al fine di installare apparecchiature

idonee all’intercettazione di comunicazioni informatiche o telematiche

rilevanti in relazione ad una futura negoziazione




Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis

cod. pen.)

• Es. l’eliminazione o l’alterazione dei file o di un programma informatico

appena acquistato che siano poste in essere al fine di far venire meno la

prova del credito da parte di un fornitore della società


prova del credito da parte di un fornitore della società




Danneggiamento di informazioni, dati e programmi informatici utilizzati

dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art.

635-ter cod. pen.)

• Es. dipendente che compia atti diretti a distruggere documenti

informatici aventi efficacia probatoria registrati presso enti pubblici (es.


informatici aventi efficacia probatoria registrati presso enti pubblici (es.

polizia giudiziaria) relativi ad un procedimento penale a carico della

società




Danneggiamento di sistemi informatici o telematici (art. 635-quater cod.

pen.)

• Es. alterazione dei dati, delle informazioni o dei programmi che renda

inservibile o ostacoli gravemente il funzionamento del sistema




Danneggiamento di sistemi informatici o telematici di pubblica utilità (art.

635-quinquies cod. pen.)

• il danneggiamento deve avere ad oggetto un intero sistema e il sistema

stesso deve essere utilizzato per il perseguimento di pubblica utilità,

indipendentemente dalla proprietà privata o pubblica dello stesso


indipendentemente dalla proprietà privata o pubblica dello stesso




Frode informatica del soggetto che presta servizi di certificazione di firma

elettronica (art.640-quinquies c.p.)

• reato proprio che può essere commesso solo da parte dei certificatori

qualificati, o meglio, i soggetti che prestano servizi di certificazione di

Firma Elettronica qualificata


Firma Elettronica qualificata



I reati informatici già previsti dal D. Lgs. 231/2001

• Frode informatica commessa a danno dello stato o di altro ente pubblico

(art. 24)

• Assistenza a gruppi terroristici apprestata fornendo strumenti di

comunicazione (art. 25 quater)


• Distribuzione, cessione e detenzione di materiale pedopornografico (art.

25 quinques comma 1 lett. c))



Quando l’azienda può essere coinvolta

• Reato commesso nel suo interesse o comunque ne abbia tratto vantaggio

• Anche nelle ipotesi in cui l'autore del reato non e' stato identificato o non

è imputabile



Conseguenze per l’azienda

• Sanzioni pecuniarie

• Sanzioni interdittive (l'interdizione dall'esercizio dell'attività; la

sospensione o la revoca delle autorizzazioni, licenze o concessioni

funzionali alla commissione dell'illecito; il divieto di contrattare con la

pubblica amministrazione, salvo che per ottenere le prestazioni di un


pubblica amministrazione, salvo che per ottenere le prestazioni di un

pubblico servizio; l'esclusione da agevolazioni, finanziamenti, contributi o

sussidi e l'eventuale revoca di quelli già concessi; il divieto di pubblicizzare

beni o servizi)

• Confisca

• Pubblicazione della sentenza



Come evitare un coinvolgimento

Esonero responsabilità ex art. 6 se si dimostra che:

• l’organo dirigente dell’Ente ha adottato ed efficacemente attuato, prima

della commissione del fatto, modelli di organizzazione e di gestione idonei

a prevenire reati della specie di quello verificatosi;


• il compito di vigilare sul funzionamento e l’osservanza dei modelli nonché

di curare il loro aggiornamento è stato affidato ad un organismo dell’Ente

dotato di autonomi poteri di iniziativa e controllo;



Come evitare un coinvolgimento

• le persone che hanno commesso il reato hanno agito eludendo

fraudolentemente i suddetti modelli di organizzazione e gestione;

• non vi sia stata omessa o insufficiente vigilanza da parte dell’organismo



Le esigenze che deve soddisfare il modello

• Individuare le attività nel cui ambito esiste la possibilità che vengano

commessi reati previsti dal decreto

• Prevedere specifici protocolli diretti a programmare la formazione e

l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire


• Individuare modalità di gestione delle risorse finanziarie idonee ad

impedire la commissione di tali reati



Le esigenze che deve soddisfare il modello

• Prevedere obblighi di informazione nei confronti dell’organismo deputato

a vigilare sul funzionamento e l’osservanza del modello

• Introdurre un sistema disciplinare interno idoneo a sanzionare il mancato

rispetto delle misure indicate nel modello



Modello e codice etico

• Il codice etico rappresenta uno strumento adottato in via autonoma allo

scopo di esprimere dei principi di deontologia aziendale e sui quali si

richiama l’osservanza da parte di tutti i dipendenti

• Il modello risponde invece a specifiche prescrizioni contenute nel decreto

finalizzate a prevenire la commissione di particolari tipologie di reati


finalizzate a prevenire la commissione di particolari tipologie di reati



• Autonomia

• Indipendenza

• Professionalità

I requisiti dei componenti dell’organismo di vigilanza


• Continuità d’azione

• Onorabilità

• Assenza di conflitti di interesse



• Controllo sull’osservanza delle prescrizioni del modello da parte dei

destinatari, in relazione alle diverse tipologie di reato contemplate dal

decreto

• Controllo sulla reale efficacia ed effettiva capacità del modello, in

relazione alla struttura aziendale, di prevenire la commissione dei reati di

Compiti dell’organismo di vigilanza


relazione alla struttura aziendale, di prevenire la commissione dei reati di

cui al decreto

• Verifica sull’opportunità di aggiornamento del modello, in relazione alle

mutate condizioni aziendali ed alle novità legislative e regolamentari



• Reporting nei confronti degli organi societari

• Comunicazione continuativa direttamente con l’amministratore delegato

• Comunicazione su base periodica nei confronti del comitato di controllo

interno, del consiglio d’amministrazione e del collegio sindacale

Funzioni dell’organismo di vigilanza


interno, del consiglio d’amministrazione e del collegio sindacale



• Forma

• Sostanza

Come redigere il modello per i reati informatici



• Dimostrare di aver fatto tutto il possibile per evitare che venisse

commesso un reato informatico

Obiettivo



• Coerenza con la parte generale del modello e delle altre parti speciali

• Analisi della documentazione aziendale con specifico riferimento ai

documenti relativi all’uso delle tecnologie dell’informazione

• Analisi dell’organigramma e valutazione delle competenze formali e di

Valutazioni preliminari


• Analisi dell’organigramma e valutazione delle competenze formali e di

fatto

• Valutazione delle deleghe



• Formazione (sensibilizzazione del personale, codice di comportamento

informatico – i cui principi fondamentali potrebbero essere inseriti nel

contratto di lavoro)

• Organizzazione (affidamento incarichi a soggetti qualificati, limitazione

degli accessi ai sistemi, delega di funzioni)

Attività da svolgere e da inserire nel modello


degli accessi ai sistemi, delega di funzioni)

• Accorgimenti di carattere tecnico (es. adozione di meccanismi di

controllo per verificare la presenza di software contraffatti)



• Descrizione dei delitti informatici e trattamento illecito di dati (art. 24 bis

del decreto)

• Aree a rischio

• Destinatari e principi generali di comportamento

Cosa deve contenere il modello


• Destinatari e principi generali di comportamento

• Principi procedurali specifici

• Compiti organismo vigilanza



• Credenziali

• Dati Informatici

• Documento Informatico

Definizioni


• Firma Elettronica

• Piano di Sicurezza

• Postazione di Lavoro

• Sicurezza Informatica



• Tutte le attività aziendali svolte tramite l’utilizzo dei Sistemi Informativi

aziendali, del servizio di posta elettronica e dell'accesso ad Internet

• Gestione dei Sistemi Informativi aziendali al fine di assicurarne il

funzionamento e la manutenzione

Aree a rischio


• L’evoluzione della piattaforma tecnologica



• Gestione dei flussi informativi elettronici con la pubblica amministrazione

• Utilizzo di software e banche dati

• Gestione dei contenuti del sito Internet della società

Aree a rischio



• Codice Etico

• Organigramma aziendale e schemi organizzativi

Destinatari regole di comportamento con richiamo ad altri

documenti


• Linea Guida “Information Security Policy”

• Raccolte di policy e procedure per la sicurezza delle Informazioni



• Manuale delle istruzioni operative del call center

• Gestione dei siti internet

Destinatari regole di comportamento con richiamo ad altri

documenti


• Istruzione operativa "Controllo Accessi – modalità di accesso alle sedi

aziendali”



• Connettere ai sistemi informatici della società, personal computer,

periferiche e altre apparecchiature o installare software senza preventiva

autorizzazione del soggetto aziendale responsabile individuato

• Modificare la configurazione software e/o hardware di postazioni di lavoro

fisse o mobili se non previsto da una regola aziendale ovvero, in diversa

Principi procedurali specifici (divieti)


fisse o mobili se non previsto da una regola aziendale ovvero, in diversa

ipotesi, se non previa espressa e debita autorizzazione



• Divulgare, cedere o condividere con personale interno o esterno alla

società le proprie credenziali di accesso ai sistemi e alla rete aziendale, di

clienti o terze parti

• Accedere abusivamente ad un sistema informatico altrui – ovvero nella

disponibilità di altri dipendenti o terzi – nonché accedervi al fine di

Principi procedurali specifici (divieti)


disponibilità di altri dipendenti o terzi – nonché accedervi al fine di

manomettere o alterare abusivamente qualsiasi dato ivi contenuto



Informare i soggetti, che a diverso titolo operano nell’azienda – autorizzati

all'utilizzo dei Sistemi Informativi -, dell'importanza di:

• Mantenere le proprie Credenziali confidenziali e di non divulgare le stesse

Principi procedurali specifici (impegni della società)


• Mantenere le proprie Credenziali confidenziali e di non divulgare le stesse

a soggetti terzi;

• Utilizzare correttamente i software e banche dati in dotazione;



• Non inserire dati, immagini o altro materiale coperto dal diritto d'autore

senza avere ottenuto le necessarie autorizzazioni dai propri superiori

gerarchici secondo le indicazioni contenute nelle policy aziendali;



• Proteggere i collegamenti wireless, impostando una chiave d'accesso,

onde impedire che soggetti terzi, esterni alla società, possano

illecitamente collegarsi alla rete Internet tramite i routers della stessa e

compiere illeciti ascrivibili ai dipendenti;



• Limitare l'accesso alla rete informatica aziendale dall'esterno;

• Far sottoscrivere ai soggetti autorizzati all'utilizzo dei sistemi informativi,

uno specifico documento con il quale si impegnino al corretto utilizzo ed



uno specifico documento con il quale si impegnino al corretto utilizzo ed

alla tutela delle risorse informatiche aziendali



Istituzione di una struttura con il compito di:

• Monitorare centralmente in tempo reale, in collaborazione con le

Direzioni/Funzioni interessate, lo stato della sicurezza operativa delle varie

piattaforme ICT (sistemi e reti) di processo e gestionali della società,

attraverso strumenti diagnostici e coordinare le relative azioni di gestione;

Principi procedurali specifici (controlli)


attraverso strumenti diagnostici e coordinare le relative azioni di gestione;

• Monitorare centralmente in tempo reale i sistemi anti-intrusione e di

controllo degli accessi ai siti aziendali e gestire le autorizzazioni;

• Gestire progressivamente l’intero processo di identificazione ed

autorizzazione all’accesso alle risorse ICT aziendali



• Svolgere verifiche periodiche sul rispetto del modello e valutare

periodicamente la loro efficacia a prevenire la commissione dei reati di cui

all'art. 24 bis del Decreto, avvalendosi eventualmente della collaborazione

di consulenti tecnici competenti in materia

• Proporre e collaborare alla predisposizione delle istruzioni standardizzate

Compiti Organismo di Vigilanza


• Proporre e collaborare alla predisposizione delle istruzioni standardizzate

relative ai comportamenti da seguire nell’ambito delle Aree a Rischio

individuate nella presente parte speciale

• Esaminare eventuali segnalazioni di presunte violazioni del Modello ed

effettuare gli accertamenti ritenuti necessari od opportuni in relazione alle

segnalazioni ricevute



• Digital Evidence Analysis (DEA). L’analisi delle informazioni digitali in

maniera tale che possano essere usate come prova in giudizio

• Crime Scene Investigation (CSI). L’indagine sugli strumenti di calcolo

coinvolti in un reato informatico

Computer forensics



• In azienda spesso l’interesse è proprio per l’attività investigativa, che per

ragioni di opportunità o riservatezza non si vuole affidare ad enti

istituzionali

Computer forensics



Le tipiche domande del Giudice ai periti:

• La prova è stata raccolta senza alterarla (integrità)?

• Ho tutto ciò che mi serve per interpretare la prova in maniera corretta

(completezza, veridicità)?

Computer forensics


(completezza, veridicità)?

• Che valore posso dare alle catene causali di responsabilità che emergono

dalla prova (autenticità, veridicità)?



• Più oneri e responsabilità per le aziende

• Scelta obbligata perché già prevista per altri reati e per le indicazioni

Comunitarie

Conclusioni



• Sempre meno budget

• Perché dovrebbe capitare proprio a me

• Se capita a me spendo dopo

Conclusioni



• Grande opportunità: razionalizzo l’attività dell’azienda (mappo i rischi,

individuo i protocolli, formo personale all’altezza)

• Valore aggiunto

Conclusioni



Contatti:


Contatti:

• www.andig.it

• www.galdieri-crea.it



La responsabilità dell’azienda per i reati informatici commessi al suo interno: project...

Technology

Transcript of La responsabilità dell’azienda per i reati informatici commessi al suo interno: project...