Titolo della presentazione Avv. Valentina Frediani
231 e Sicurezza
Informatica
Titolo della presentazione
D. Lgs. n. 231/2001
Introduce nell’ordinamento italiano la responsabilità delle persone
giuridiche, delle società e delle associazioni anche prive di
personalità giuridica per i reati commessi nel loro interesse o a loro
vantaggio da parte di persone fisiche appartenenti alle loro
organizzazioni
231 e Sicurezza Informatica
Titolo della presentazione
Esonero da responsabilità
Si ha esonero da responsabilità (esclusione colpevolezza) se l’ente
prova che:
1) L’organo dirigente ha ADOTTATO ed EFFICACEMENTE ATTUATO,
PRIMA della commissione del fatto di reato, MODELLI di
ORGANIZZAZIONE e di GESTIONE (schemi, protocolli operativi e
procedure) idonei a prevenire i reati presupposto della specie di
quello verificatosi.
2) Il compito di VIGILARE sul funzionamento e l’osservanza dei modelli
e di curare il loro aggiornamento ed adattamento alla concreta
realtà dell’ente è stato affidato ad un organismo dell’ente dotato di
POTERI AUTONOMI di INIZIATIVA e CONTROLLO (ORGANO DI
VIGILANZA).
231 e Sicurezza Informatica
Titolo della presentazione
Esonero da responsabilità
3) Le persone hanno commesso il fatto eludendo
FRAUDOLENTEMENTE i modelli di organizzazione e di gestione.
4) Non vi è stata OMESSA o INSUFFICIENTE vigilanza da parte
dell’organo di vigilanza.
Attenzione
Le suddette 4 condizioni devono sussistere contemporaneamente;
se ne manca anche una sola l’ente è pienamente responsabile.
231 e Sicurezza Informatica
Titolo della presentazione
Caratteri del Modello di Organizzazione
Gestione e Controllo
• MAPPATURA Aree di Rischio-poteri delegati all’interno
• Predisposizione PROTOCOLLI (procedure) volti a
PROCEDIMENTALIZZARE l’iter di formazione ed ATTUAZIONE delle
decisioni dell’ente in relazione ai reati da prevenire
• consentire la c.d. TRACCIABILITA’ delle decisioni/segmenti
processo decisionale ai fini dell’individuazione delle responsabilità
• prevedere MODALITA’ DI GESTIONE DELLE RISORSE FINANZIARIE
idonee impedire commissione reati presupposto
• Introduzione SISTEMA DISCIPLINARE
• Previsione OBBLIGHI INFORMATIVI ( reports, segnalazioni, flussi
informazioni) nei confronti ODV) .
231 e Sicurezza Informatica
Titolo della presentazione
Condizioni Scriminanti del Modello: quando
evita la responsabilità dell’ente?
• Adottato ed efficacemente attuato(EFFETTIVITA’ del modello)
• ESENZIONE RESPONSABILITA’: solo se ente dimostri che ha adottato ed
attuato modelli di organizzazione e gestione idonei a prevenire reati
(presupposto)della specie di quelli verificatesi
• Inversione ONERE PROVA: in caso di reato presupposto commesso da
figura apicale; NON PM che deve provare la responsabilità ma ente che
dovrà dimostrare che ha adottato ed efficacemente attuato un modello
organizzativo tale da impedire la commissione di reati
• VIGILANZA EFFETTIVA OPERATIVITA’ ed OSSERVANZA dei modelli
231 e Sicurezza Informatica
Titolo della presentazione
Struttura Modello Organizzazione e
Gestione(art.6,c.2,D.Lgs 231/2001)-Premesse
• Elementi essenziali ed immodificabili
• Tarato in relazione a natura,dimensione e tipo di attività svolta da
ente
• Non è uguale in tutte le aziende ma cambia in base a condizioni
INTERNE (dimensioni,struttura organizzativa) ed ESTERNE (settore
economico, collocazione geografica) in cui ciascuna impresa
opera
• Se EFFICACE deve mettere l’autore del reato nelle condizioni di
commetterlo SOLO raggirando fraudolentemente il modello e gli
organi di controllo
• Se adottato prima dell’inizio del dibattimento di primo
grado:riduzione pene pecuniarie(art. 12,c. 2, lett.b),concorre ad
evitare a ente sanzioni interdittive(art. 17 lett.b)
231 e Sicurezza Informatica
Titolo della presentazione
Le Sanzioni (artt.9-23 D.lgs.231/2001)
• SANZIONI PECUNIARIE: indefettibili
• SANZIONI INTERDITTIVE: solo nei casi di PARTICOLARE GRAVITA’.
• Sanzioni interdittive : 1) interdizione,anche temporanea,da esercizio
attività;
2) sospensione/revoca autorizzazioni,licenze o
concessioni;
3)divieto di contrattare con la PA, salvo che per ottenere un pubblico servizio;
4)esclusione/revoca agevolazioni,finanziamenti
• Divieto di pubblicizzare beni o servizi.
• Sanzioni interdittive non si applicano in presenza di condotte di efficace
riparazione o reintegrazione dell’offesa
• CONFISCA: su prezzo o profitto del reato adottata anche per equivalente
231 e Sicurezza Informatica
Titolo della presentazione
Delitti informatici e trattamento illecito di
dati (24-bis)
accesso abusivo ad un sistema
intercettazione comunicazioni
danneggiamento di informazioni, dati programmi e sistemi
detenzione o diffusione abusiva di codici di accesso a sistemi
frode informatica
violazione del diritto d’autore
231 e Sicurezza Informatica
Titolo della presentazione
Aree/Soggetti particolarmente sottoposti ai
rischi
• Security
• Informatica: tutto il settore informatico, comprese le banche dati
interne ed esterne
• Accessi abusivi e/o in aree non autorizzate
• Smarrimento/furto codici di accesso o password
• Alterazione dati presenti nel sistema della società
• Attività dell’Amministratore di Sistema
• Pc portatili e tecnologie con accesso alla rete
• Strumenti di memorizzazione di massa
231 e Sicurezza Informatica
Titolo della presentazione
Normative che contribuiscono alla 231
Decreto Legislativo n. 196/2003
Provvedimento in materia di amm.re di sistema
Regolamento informatico, posta elettronica e log di connessione
Regolamento in materia di dismissione di spazzatura elettronica
SOX
ISO 27001
231 e Sicurezza Informatica
Titolo della presentazione
Documentazione di riferimento per il rispetto
della normativa
• Codice etico
• Procedure interne e policy aziendali
• Manuale della qualità
• Documento Programmatico sulla Sicurezza
• Regolamento informatico
• Documentazione in materia di ADS
231 e Sicurezza Informatica
Titolo della presentazione
Il ruolo dei consulenti e dei partners
I consulenti e partner dovranno essere notiziati in merito adozione del
modello e del codice etico ed in merito al loro obbligo di attenervisi.
Devono, inoltre:
- osservare principi di correttezza e trasparenza
- astenersi da condotte integranti le fattispecie criminose con
particolare riferimento alle condotte di rilevanza informatica
eventualmente tenute presso i clienti finali
231 e Sicurezza Informatica
Titolo della presentazione
Alcune prescrizioni in materia di sicurezza per la
prevenzione dei reati
- La gestione delle credenziali di autenticazione secondo i
parametri normativi
- La comunicazione di attivazione/disattivazione di un profilo di
autorizzazione
- La verifica periodica delle utenze effettivamente attive
- La verifica periodica delle procedure di back-up
- La valutazione periodica dei rischi da accessi esterni
231 e Sicurezza Informatica
Titolo della presentazione
Procedure operative
• Connessione utente a rete tramite codice di autenticazione univoco e
personale
• Assegnazione password al momento del conferimento del potere di
accesso con obbligo di modifica al primo accesso
• Obbligo di modifica password da parte utente, qualora questi dubiti che
la stessa possa essere non piu’ sicura
• Divieto di annotazione delle password in chiaro o su supporto cartaceo o
informatico
• Requisiti minimi di complessità password(almeno 8 caratteri)
• Modifica almeno trimestrale password
• Utilizzo rete interna per i soli scopi da quelli ai quali è destinata
• Riconoscimento siti visitati
231 e Sicurezza Informatica
Titolo della presentazione
Procedure operative
• Utenti rete internet devono avere account su dominio di lavoro
società
• Account deve essere un identificativo composto da nome e
cognome dell’addetto
• Divieto di navigazione dei dipendenti su siti non conferenti con
l’attività aziendale
• Divieto uso caselle posta elettronica per usi personali
• Possibilità di accesso a posta elettronica dipendente da parte di
un delegato dalla Direzione
• Divieto per dipendenti di partecipazione a mailing list, forum,blog
o chat
• Cautele e ulteriori prescrizioni tecnico-operative relative alla posta
elettronica
231 e Sicurezza Informatica
Titolo della presentazione
Strumenti atti alla prevenzione
Adozione sistemi di monitoraggio download od
adozione politiche di restrizione download
Adozione politiche di filtering
Monitoraggio delle navigazioni
Utilizzo di impostazioni specifiche per posta elettronica
231 e Sicurezza Informatica
Titolo della presentazione
Controlli
Loggatura con conservazione semestrale dei log di ADS
Attuazione di verifiche periodiche da parte del Responsabile IT
Controlli effettuati dall’ODV
Verifica procedura gestione
posta elettronica
Verifica a campione composizione pw
Verifica senza preavviso delle procedure di back-up
231 e Sicurezza Informatica
Titolo della presentazione 231 e Sicurezza Informatica
Avv. Valentina Frediani [email protected]