Smau padova 2013 valentina frediani

Titolo della presentazione Avv. Valentina Frediani

231 e Sicurezza

Informatica

Titolo della presentazione

D. Lgs. n. 231/2001

Introduce nell’ordinamento italiano la responsabilità delle persone

giuridiche, delle società e delle associazioni anche prive di

personalità giuridica per i reati commessi nel loro interesse o a loro

vantaggio da parte di persone fisiche appartenenti alle loro

organizzazioni

231 e Sicurezza Informatica


Esonero da responsabilità

Si ha esonero da responsabilità (esclusione colpevolezza) se l’ente

prova che:

1) L’organo dirigente ha ADOTTATO ed EFFICACEMENTE ATTUATO,

PRIMA della commissione del fatto di reato, MODELLI di

ORGANIZZAZIONE e di GESTIONE (schemi, protocolli operativi e

procedure) idonei a prevenire i reati presupposto della specie di

quello verificatosi.

2) Il compito di VIGILARE sul funzionamento e l’osservanza dei modelli

e di curare il loro aggiornamento ed adattamento alla concreta

realtà dell’ente è stato affidato ad un organismo dell’ente dotato di

POTERI AUTONOMI di INIZIATIVA e CONTROLLO (ORGANO DI

VIGILANZA).



Esonero da responsabilità

3) Le persone hanno commesso il fatto eludendo

FRAUDOLENTEMENTE i modelli di organizzazione e di gestione.

4) Non vi è stata OMESSA o INSUFFICIENTE vigilanza da parte

dell’organo di vigilanza.

Attenzione

Le suddette 4 condizioni devono sussistere contemporaneamente;

se ne manca anche una sola l’ente è pienamente responsabile.



Caratteri del Modello di Organizzazione

Gestione e Controllo

• MAPPATURA Aree di Rischio-poteri delegati all’interno

• Predisposizione PROTOCOLLI (procedure) volti a

PROCEDIMENTALIZZARE l’iter di formazione ed ATTUAZIONE delle

decisioni dell’ente in relazione ai reati da prevenire

• consentire la c.d. TRACCIABILITA’ delle decisioni/segmenti

processo decisionale ai fini dell’individuazione delle responsabilità

• prevedere MODALITA’ DI GESTIONE DELLE RISORSE FINANZIARIE

idonee impedire commissione reati presupposto

• Introduzione SISTEMA DISCIPLINARE

• Previsione OBBLIGHI INFORMATIVI ( reports, segnalazioni, flussi

informazioni) nei confronti ODV) .



Condizioni Scriminanti del Modello: quando

evita la responsabilità dell’ente?

• Adottato ed efficacemente attuato(EFFETTIVITA’ del modello)

• ESENZIONE RESPONSABILITA’: solo se ente dimostri che ha adottato ed

attuato modelli di organizzazione e gestione idonei a prevenire reati

(presupposto)della specie di quelli verificatesi

• Inversione ONERE PROVA: in caso di reato presupposto commesso da

figura apicale; NON PM che deve provare la responsabilità ma ente che

dovrà dimostrare che ha adottato ed efficacemente attuato un modello

organizzativo tale da impedire la commissione di reati

• VIGILANZA EFFETTIVA OPERATIVITA’ ed OSSERVANZA dei modelli



Struttura Modello Organizzazione e

Gestione(art.6,c.2,D.Lgs 231/2001)-Premesse

• Elementi essenziali ed immodificabili

• Tarato in relazione a natura,dimensione e tipo di attività svolta da

ente

• Non è uguale in tutte le aziende ma cambia in base a condizioni

INTERNE (dimensioni,struttura organizzativa) ed ESTERNE (settore

economico, collocazione geografica) in cui ciascuna impresa

opera

• Se EFFICACE deve mettere l’autore del reato nelle condizioni di

commetterlo SOLO raggirando fraudolentemente il modello e gli

organi di controllo

• Se adottato prima dell’inizio del dibattimento di primo

grado:riduzione pene pecuniarie(art. 12,c. 2, lett.b),concorre ad

evitare a ente sanzioni interdittive(art. 17 lett.b)



Le Sanzioni (artt.9-23 D.lgs.231/2001)

• SANZIONI PECUNIARIE: indefettibili

• SANZIONI INTERDITTIVE: solo nei casi di PARTICOLARE GRAVITA’.

• Sanzioni interdittive : 1) interdizione,anche temporanea,da esercizio

attività;

2) sospensione/revoca autorizzazioni,licenze o

concessioni;

3)divieto di contrattare con la PA, salvo che per ottenere un pubblico servizio;

4)esclusione/revoca agevolazioni,finanziamenti

• Divieto di pubblicizzare beni o servizi.

• Sanzioni interdittive non si applicano in presenza di condotte di efficace

riparazione o reintegrazione dell’offesa

• CONFISCA: su prezzo o profitto del reato adottata anche per equivalente



Delitti informatici e trattamento illecito di

dati (24-bis)

accesso abusivo ad un sistema

intercettazione comunicazioni

danneggiamento di informazioni, dati programmi e sistemi

detenzione o diffusione abusiva di codici di accesso a sistemi

frode informatica

violazione del diritto d’autore



Aree/Soggetti particolarmente sottoposti ai

rischi

• Security

• Informatica: tutto il settore informatico, comprese le banche dati

interne ed esterne

• Accessi abusivi e/o in aree non autorizzate

• Smarrimento/furto codici di accesso o password

• Alterazione dati presenti nel sistema della società

• Attività dell’Amministratore di Sistema

• Pc portatili e tecnologie con accesso alla rete

• Strumenti di memorizzazione di massa



Normative che contribuiscono alla 231

Decreto Legislativo n. 196/2003

Provvedimento in materia di amm.re di sistema

Regolamento informatico, posta elettronica e log di connessione

Regolamento in materia di dismissione di spazzatura elettronica

SOX

ISO 27001



Documentazione di riferimento per il rispetto

della normativa

• Codice etico

• Procedure interne e policy aziendali

• Manuale della qualità

• Documento Programmatico sulla Sicurezza

• Regolamento informatico

• Documentazione in materia di ADS



Il ruolo dei consulenti e dei partners

I consulenti e partner dovranno essere notiziati in merito adozione del

modello e del codice etico ed in merito al loro obbligo di attenervisi.

Devono, inoltre:

- osservare principi di correttezza e trasparenza

- astenersi da condotte integranti le fattispecie criminose con

particolare riferimento alle condotte di rilevanza informatica

eventualmente tenute presso i clienti finali



Alcune prescrizioni in materia di sicurezza per la

prevenzione dei reati

- La gestione delle credenziali di autenticazione secondo i

parametri normativi

- La comunicazione di attivazione/disattivazione di un profilo di

autorizzazione

- La verifica periodica delle utenze effettivamente attive

- La verifica periodica delle procedure di back-up

- La valutazione periodica dei rischi da accessi esterni



Procedure operative

• Connessione utente a rete tramite codice di autenticazione univoco e

personale

• Assegnazione password al momento del conferimento del potere di

accesso con obbligo di modifica al primo accesso

• Obbligo di modifica password da parte utente, qualora questi dubiti che

la stessa possa essere non piu’ sicura

• Divieto di annotazione delle password in chiaro o su supporto cartaceo o

informatico

• Requisiti minimi di complessità password(almeno 8 caratteri)

• Modifica almeno trimestrale password

• Utilizzo rete interna per i soli scopi da quelli ai quali è destinata

• Riconoscimento siti visitati



Procedure operative

• Utenti rete internet devono avere account su dominio di lavoro

società

• Account deve essere un identificativo composto da nome e

cognome dell’addetto

• Divieto di navigazione dei dipendenti su siti non conferenti con

l’attività aziendale

• Divieto uso caselle posta elettronica per usi personali

• Possibilità di accesso a posta elettronica dipendente da parte di

un delegato dalla Direzione

• Divieto per dipendenti di partecipazione a mailing list, forum,blog

o chat

• Cautele e ulteriori prescrizioni tecnico-operative relative alla posta

elettronica



Strumenti atti alla prevenzione

Adozione sistemi di monitoraggio download od

adozione politiche di restrizione download

Adozione politiche di filtering

Monitoraggio delle navigazioni

Utilizzo di impostazioni specifiche per posta elettronica



Controlli

Loggatura con conservazione semestrale dei log di ADS

Attuazione di verifiche periodiche da parte del Responsabile IT

Controlli effettuati dall’ODV

Verifica procedura gestione

posta elettronica

Verifica a campione composizione pw

Verifica senza preavviso delle procedure di back-up


Titolo della presentazione 231 e Sicurezza Informatica

Avv. Valentina Frediani [email protected]

Smau padova 2013 valentina frediani

Technology

Transcript of Smau padova 2013 valentina frediani