I reati informatici e la 231/01: controlli e formazione

L’avvento della digitalizzazione ha modificato profondamente il mondo aziendale. L’inarrestabile diffusione di internet e delle nuove tecnologie ha imposto alle aziende un grado sempre più elevato di informatizzazione aziendale. Questo processo, volto a, condizionare l’intera dimensione dell’impresa all’utilizzo di strumenti e sistemi informatici, è ormai divenuto condizione imprescindibile per ottimizzare l’organizzazione di diversi processi interni.

Il ricorso all’informatica ed al mondo virtuale rappresenta però un’“arma a doppio taglio” in quanto ha comportato non solo diversi effetti positivi, legati all’innegabile miglioramento del funzionamento di diverse aree di attività, ma anche un significativo innalzamento del rischio di commissione di comportamenti illeciti all’interno del contesto aziendale, dovuto al fatto che il sistema di protezione cyber non è sempre implementato alla stessa velocità, frequenza e grado rispetto all’informatizzazione dei processi produttivi. Sebbene in maniera meno sistematica di quanto avrebbe meritato la materia, il legislatore ha previsto un compendio di norme volte a tutelare penalmente le condotte fraudolente nel settore informatico, con l’introduzione dei c.d. digital crimes (L. n. 48/2008).

A questa responsabilità – tipicamente personale – è stata opportunamente aggiunta quella amministrativa derivante da reato con l’inserimento dei delitti informatici nel novero dei reati-presupposto previsti ex D. Lgs. 231/2001 (art. 24 bis).

Nel precedente articolo si era fatto cenno a come nell’ambito dell’attività di predisposizione del Modello 231, la gestione dei rischi legati al mondo dell’informatica si fonda principalmente su tre pilastri: 1) Prevenzione; 2) Controlli; 3) Formazione.

Dopo aver analizzato ed approfondito il profilo della prevenzione, oggi ci soffermeremo sui rimanenti due profili: i controlli e la formazione.

I controlli

Per quanto riguarda i controlli, l’impresa deve provvedere a nominare un amministratore di sistema (c.d. S.I.A.), un esperto di IT che si occupi del monitoraggio dei sistemi informativi aziendali e che risponda a tutte le segnalazioni provenienti dalle varie funzioni. Inoltre, risultano fondamentali la programmazione di audit interni da eseguire periodicamente (anche mediante attività di penetrazione ed ingegneria sociale) ed il controllo costante sui cambiamenti apportati agli elaboratori e ai sistemi.

Tutti gli strumenti e le misure sopra indicate sono estremamente utili anche nella tutela dagli attacchi esterni. L’implementazione del Modello 231 ad oggi può infatti rivelarsi uno strumento prezioso ed efficace anche per tutelare l’azienda da eventuali minacce cyber provenienti dall’esterno.

Negli ultimi anni ormai sono diventati sempre più frequenti i reati (anche non ricompresi nell’elencazione di cui all’art. 24 bis) commessi nel cyberspace, i quali provocano gravissime conseguenze alle aziende sia a livello economico che a livello strutturale e di web reputation. Basti pensare ai frequentissimi casi di phishing o di cyber-laundering oppure ancora di diffamazione on-line. Si tratta di reati (come detto, anche non rientranti nell’elenco ex D. Lgs. 231/01) perpetrati da autori che il più delle volte restano anonimi e sono collocati in Paesi esteri difficilmente rintracciabili. Tali soggetti conoscono perfettamente i punti deboli a livello tecnico-informatico delle loro principali vittime, perciò, li sfruttano per agire illecitamente causando considerevoli danni reputazionali ed economici.

L’incremento delle misure di prevenzione e controllo contenute nel Modello anche con strumenti di contrasto a tali fenomeni provenienti dall’esterno, si rivela sempre più vantaggioso per le aziende che vogliono una tutela a 360 gradi e, quindi, una continuità della loro attività. È importante, dunque, che le aziende non solo prevengano, ma anche costituiscano un sistema di disaster recovery per il trattamento degli incidenti e delle anomalie di qualsiasi tipo relativi alla sicurezza informatica. A questo proposito risulta estremamente utile l’introduzione di meccanismi di comunicazione immediata tramite alert automatici che segnalino eventuali episodi di hackeraggio e di appropriati canali gestionali per la comunicazione immediata degli incidenti e dei problemi oltre che l’analisi periodica di tutti gli incidenti singoli e ricorrenti e l’individuazione della rispettiva rootcause in modo da poter creare una rete di prevenzione-protezione sempre più ampia e sofisticata.

Un ulteriore strumento di tutela a livello informatico per il mondo aziendale è poi la certificazione ISO/IEC 27001:2017.

Dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni aziendali sono archiviate su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono continuamente in crescita. L’obiettivo del nuovo standard ISO 27001:2017 è proprio la protezione dei dati e delle informazioni aziendali da minacce di qualsiasi tipo, allo scopo di assicurarne l’integrità, la riservatezza e la disponibilità e fornire alle società i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una gestione efficace e corretta dei dati sensibili dell’azienda. Prendendo spunto dai controlli suggeriti dall’Annex A della ISO 27001 e dalle linee guida di implementazione di cui alla ISO 27002 l’ente dovrebbe dotarsi almeno dei seguenti protocolli:

• Gestione degli asset: l’ente deve identificare gli asset rilevanti nel ciclo di vita delle informazioni e documentare la loro importanza, considerando anche i supporti rimovibili. Il ciclo di vita delle informazioni negli asset deve tenere in considerazione la creazione, l’elaborazione, l’archiviazione, la trasmissione, la cancellazione e la distruzione. Devono quindi essere stabilite le regole per l’uso accettabile degli asset, documentate e implementate e ciascun dipendente deve essere formato e responsabilizzato in materia. Infine, devo esser stabilite modalità e condizioni di restituzione degli asset.
• Controllo degli accessi: l’ente deve stabilire una politica di controllo degli accessi fisici e logici alle informazioni da rendere nota agli utenti interni ed ai fornitori di servizi che accedono.
• Sicurezza fisica e ambientale: l’ente deve definire i perimetri per proteggere le aree che contengono informazioni sensibili o critiche e le strutture di elaborazione delle informazioni. Il livello di sicurezza di ciascun perimetro deve essere commisurato ai requisiti di sicurezza delle risorse all’interno del perimetro e ai risultati di una valutazione del rischio. I perimetri di un edificio o di un sito contenente strutture di elaborazione delle informazioni devono essere fisicamente sani; il tetto esterno, le pareti e la pavimentazione del sito devono essere di costruzione solida e tutte le porte esterne devono essere adeguatamente protette dall’accesso non autorizzato con meccanismi di controllo, (es. sbarre, allarmi, serrature); porte e finestre dovrebbero essere chiuse a chiave quando incustodite e dovrebbe essere presa in considerazione una protezione esterna per le finestre, in particolare a livello del suolo.
• Controlli operativi: l’ente deve stabilire una serie di controlli operativi inerenti i processi critici per la sicurezza delle informazioni.

La formazione

Quanto alla formazione, l’Ente è tenuto ad adottare un programma di sensibilizzazione sulla sicurezza delle informazioni con l’obiettivo di rendere i dipendenti e, se del caso, i fornitori, consapevoli delle loro responsabilità per la sicurezza delle informazioni e dei mezzi con cui tali responsabilità vengono assolte. Le attività di sensibilizzazione dovrebbero essere programmate nel tempo, preferibilmente regolarmente, in modo che le attività siano ripetute e coprano i nuovi dipendenti e fornitori.

Il programma di sensibilizzazione dovrebbe anche essere aggiornato regolarmente in modo da rimanere in linea con le politiche e le procedure organizzative e dovrebbe essere basato sulle nozioni apprese dagli incidenti o quasi reati in ambito di sicurezza delle informazioni. Avere dipendenti e figure professionali specifiche che sappiano gestire eventuali segnalazioni di anomalie interne nonché riconoscere ed evitare le minacce informatiche della rete è fondamentale per proteggere l’impresa.

La sensibilizzazione di tutto il personale e la responsabilizzazione di specifiche figure – referenti per la sicurezza informatica – favoriscono da un lato una migliore collaborazione nella gestione di dati ed informazioni interni all’azienda e dall’altro una maggiore tempestività d’intervento in caso di evento sinistro, sia esso accidentale o fraudolento.

Da ultimo, occorre sottolineare come per una tutela efficace delle aziende in tema digital/cyber crime oltre ad un’azione specifica sul piano tecnico-procedurale nell’ambito della sicurezza informatica, è indispensabile diffondere una cultura aziendale in tal senso.

Sia l’attuazione effettiva del Modello 231 sia il contrasto agli attacchi hacker possono essere infatti più agevolmente realizzati se affiancati da un’intensa attività di formazione del personale aziendale.