La compliance integrata, frutto della collaborazione tra consulenti e organismi di vigilanza, non è solo un adempimento normativo, ma contribuisce anche a creare una cultura aziendale orientata alla sicurezza ed alla consapevolezza dei rischi digitali. L’obiettivo di un ente sano deve essere quello di superare la visione settoriale della conformità privacy e 231, puntando invece alla gestione aziendale in un’ottica interdisciplinare. Approfondiamo il tema alla luce della legge sulla cybersicurezza.
Cosa dice la legge sulla cybersicurezza
Il 2 luglio 2024 è stata pubblicata la Legge “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” o “legge sulla cybersicurezza”.
L’attenzione rivolta al settore cyber è imposta da un contesto storico in cui la criminalità informatica continua ad evolversi rapidamente, adottando tecniche intrusive difficili da contrastare.
Come rilevato nel Documento di Approfondimento pubblicato da AODV231, gli attacchi informatici sono aumentati significativamente negli ultimi anni, sia in termini di numero che di gravità. Anche l’Agenzia per la Cybersicurezza Nazionale ha riportato, nel 2022, oltre mille incidenti informatici gestiti, con molti altri probabilmente non denunciati.
La nuova legge mira a potenziare la sicurezza informatica nazionale e prevede sanzioni più severe per i cosiddetti “computer crimes“. Tra le novità più rilevanti, l’aumento delle pene per i reati informatici, l’estensione delle circostanze aggravanti e l’eliminazione delle attenuanti per alcuni reati commessi tramite strumenti informatici.
Impatti sulla responsabilità amministrativa degli enti ed in materia di privacy
Le modifiche introdotte dalla nuova legge influiscono significativamente anche sulla responsabilità amministrativa degli enti. La normativa prevede infatti un aumento delle sanzioni pecuniarie ed interdittive per i cyber-reati ed inserisce nuove fattispecie criminose, come l’estorsione mediante reati informatici.
Seppur, a primo avviso, appaia improbabile la configurabilità di un delitto informatico in aziende appartenenti a settori di business distanti da quello tech/cyber o non dotate di un Ufficio IT, in una diversa prospettiva tale configurabilità non sembra più così remota qualora la condotta criminosa attuata tramite strumenti informatici costituisca il “mezzo” per la realizzazione di altri e diversi illeciti il cui rischio di commissione è statisticamente più probabile nelle realtà produttive.
Esempi concreti
Si pensi, ad esempio, al caso di un responsabile commerciale che, accedendo abusivamente ai sistemi informatici dell’impresa ex datrice di lavoro, riesca a carpire dati personali e informazioni commerciali riservate al fine di sfruttarle a vantaggio della “nuova” società. Potrebbe ritenersi configurabile, in questo caso, un concorso tra il delitto informatico di “Accesso abusivo ad un sistema informatico o telematico” ed uno dei delitti contro l’industria ed il commercio di cui al D.lgs. n. 231/2001.
Un altro caso potrebbe riguardare la manomissione di registrazioni video di un incidente sul lavoro: un dipendente, durante l’utilizzo di un macchinario privo di dispositivi di sicurezza, subisce un infortunio mortale e la scena è ripresa da una videocamera del sistema di videosorveglianza della struttura. Il Datore di Lavoro, prima di attivare i soccorsi, manomette il supporto del sistema di videosorveglianza sul quale erano state memorizzate le registrazioni relative all’incidente, cancellandole, per poi installare i dispositivi di sicurezza sul macchinario. La condotta così descritta, attuata per evitare sanzioni in materia di salute e sicurezza sul lavoro e probabili danni reputazionali, potrebbe rientrare nel perimetro del reato di “Danneggiamento di sistemi informatici o telematici”.
È inoltre da considerare che, spesso, i reati informatici coincidono con una violazione di dati personali (data-breach), come definita dal GDPR. In tali casi, il titolare del trattamento è obbligato a notificare la violazione al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che tale violazione dei dati personali comporti un rischio per i diritti e le libertà degli interessati.
Minimizzare i rischi: la compliance integrata
Per minimizzare i rischi ora analizzati le società, nella costruzione e/o revisione del Modello organizzativo 231 e nello sviluppo di un sistema di compliance in materia di protezione dei dati, sono tenute a valutare, in una prospettiva organica e sulla scorta del c.d. risk-based approach, i rischi e le misure di controllo da implementare per contenere le minacce informatiche. Nel dettaglio, sarà fondamentale:
- stabilire ed applicare procedure interne per assicurare la sicurezza dei sistemi informatici prevedendo, ad esempio, rigide misure di segregazione degli accessi logici, al fine di impedire a soggetti non autorizzati di accedere e manomettere strumentazione informatica;
- implementare sistemi di monitoraggio continuo per identificare tempestivamente eventuali minacce o violazioni;
- organizzare programmi di formazione per sensibilizzare i dipendenti in materia di responsabilità amministrativa degli enti con l’intento di evitare che l’azione illecita di un dipendente comporti l’apertura di un procedimento ex Decreto 231 a carico della società.
In termini operativi, il Modello 231 di una società dovrebbe perlomeno prevedere documenti e procedure, redatte in ossequio alle disposizioni di legge in materia di privacy, volte a definire le politiche di sicurezza in materia di dati personali e a fornire idonee informazioni relative alla tipologia di dati trattati.
Così facendo, l’ente potrebbe evitare di incorrere nella c.d. “colpa di organizzazione”, da intendersi come rimprovero derivante dall’inosservanza dell’obbligo di adottare le cautele organizzative e gestionali necessarie a prevenire la commissione di illeciti.
