approfondimento

Compliance integrata e legge sulla cybersicurezza, gli impatti per gli enti



Indirizzo copiato

La compliance integrata supporta gli enti nel creare una cultura aziendale improntata alla sicurezza: ecco cosa cambia con la legge sulla cybersicurezza

Pubblicato il 5 set 2024

Sebastiano Liistro

Avvocato, Complegal



shutterstock_2268386621-1920×1080

La compliance integrata, frutto della collaborazione tra consulenti e organismi di vigilanza, non è solo un adempimento normativo, ma contribuisce anche a creare una cultura aziendale orientata alla sicurezza ed alla consapevolezza dei rischi digitali. L’obiettivo di un ente sano deve essere quello di superare la visione settoriale della conformità privacy e 231, puntando invece alla gestione aziendale in un’ottica interdisciplinare. Approfondiamo il tema alla luce della legge sulla cybersicurezza.

Cosa dice la legge sulla cybersicurezza

Il 2 luglio 2024 è stata pubblicata la Legge “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” o “legge sulla cybersicurezza”.

L’attenzione rivolta al settore cyber è imposta da un contesto storico in cui la criminalità informatica continua ad evolversi rapidamente, adottando tecniche intrusive difficili da contrastare.

Come rilevato nel Documento di Approfondimento pubblicato da AODV231, gli attacchi informatici sono aumentati significativamente negli ultimi anni, sia in termini di numero che di gravità. Anche l’Agenzia per la Cybersicurezza Nazionale ha riportato, nel 2022, oltre mille incidenti informatici gestiti, con molti altri probabilmente non denunciati.

La nuova legge mira a potenziare la sicurezza informatica nazionale e prevede sanzioni più severe per i cosiddetti “computer crimes“. Tra le novità più rilevanti, l’aumento delle pene per i reati informatici, l’estensione delle circostanze aggravanti e l’eliminazione delle attenuanti per alcuni reati commessi tramite strumenti informatici.

Impatti sulla responsabilità amministrativa degli enti ed in materia di privacy

Le modifiche introdotte dalla nuova legge influiscono significativamente anche sulla responsabilità amministrativa degli enti. La normativa prevede infatti un aumento delle sanzioni pecuniarie ed interdittive per i cyber-reati ed inserisce nuove fattispecie criminose, come l’estorsione mediante reati informatici.

Seppur, a primo avviso, appaia improbabile la configurabilità di un delitto informatico in aziende appartenenti a settori di business distanti da quello tech/cyber o non dotate di un Ufficio IT, in una diversa prospettiva tale configurabilità non sembra più così remota qualora la condotta criminosa attuata tramite strumenti informatici costituisca il “mezzo” per la realizzazione di altri e diversi illeciti il cui rischio di commissione è statisticamente più probabile nelle realtà produttive.

Esempi concreti

Si pensi, ad esempio, al caso di un responsabile commerciale che, accedendo abusivamente ai sistemi informatici dell’impresa ex datrice di lavoro, riesca a carpire dati personali e informazioni commerciali riservate al fine di sfruttarle a vantaggio della “nuova” società. Potrebbe ritenersi configurabile, in questo caso, un concorso tra il delitto informatico di “Accesso abusivo ad un sistema informatico o telematico” ed uno dei delitti contro l’industria ed il commercio di cui al D.lgs. n. 231/2001.

Un altro caso potrebbe riguardare la manomissione di registrazioni video di un incidente sul lavoro: un dipendente, durante l’utilizzo di un macchinario privo di dispositivi di sicurezza, subisce un infortunio mortale e la scena è ripresa da una videocamera del sistema di videosorveglianza della struttura. Il Datore di Lavoro, prima di attivare i soccorsi, manomette il supporto del sistema di videosorveglianza sul quale erano state memorizzate le registrazioni relative all’incidente, cancellandole, per poi installare i dispositivi di sicurezza sul macchinario. La condotta così descritta, attuata per evitare sanzioni in materia di salute e sicurezza sul lavoro e probabili danni reputazionali, potrebbe rientrare nel perimetro del reato di “Danneggiamento di sistemi informatici o telematici”.

È inoltre da considerare che, spesso, i reati informatici coincidono con una violazione di dati personali (data-breach), come definita dal GDPR. In tali casi, il titolare del trattamento è obbligato a notificare la violazione al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che tale violazione dei dati personali comporti un rischio per i diritti e le libertà degli interessati.

Minimizzare i rischi: la compliance integrata

Per minimizzare i rischi ora analizzati le società, nella costruzione e/o revisione del Modello organizzativo 231 e nello sviluppo di un sistema di compliance in materia di protezione dei dati, sono tenute a valutare, in una prospettiva organica e sulla scorta del c.d. risk-based approach, i rischi e le misure di controllo da implementare per contenere le minacce informatiche. Nel dettaglio, sarà fondamentale:

  • stabilire ed applicare procedure interne per assicurare la sicurezza dei sistemi informatici prevedendo, ad esempio, rigide misure di segregazione degli accessi logici, al fine di impedire a soggetti non autorizzati di accedere e manomettere strumentazione informatica;
  • implementare sistemi di monitoraggio continuo per identificare tempestivamente eventuali minacce o violazioni;
  • organizzare programmi di formazione per sensibilizzare i dipendenti in materia di responsabilità amministrativa degli enti con l’intento di evitare che l’azione illecita di un dipendente comporti l’apertura di un procedimento ex Decreto 231 a carico della società.

In termini operativi, il Modello 231 di una società dovrebbe perlomeno prevedere documenti e procedure, redatte in ossequio alle disposizioni di legge in materia di privacy, volte a definire le politiche di sicurezza in materia di dati personali e a fornire idonee informazioni relative alla tipologia di dati trattati.

Così facendo, l’ente potrebbe evitare di incorrere nella c.d. “colpa di organizzazione”, da intendersi come rimprovero derivante dall’inosservanza dell’obbligo di adottare le cautele organizzative e gestionali necessarie a prevenire la commissione di illeciti.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4