Cybersecurity e prevenzione dei reati informatici
Le tematiche di cybersecurity non possono e non devono considerarsi questioni isolate bensì esse vedono, necessariamente, la commistione e il coinvolgimento con altre materie, esposte alle medesime problematiche di sicurezza e protezione. Con l’introduzione dei reati informatici nel novero dei reati presupposto di cui al Decreto Legislativo 8 giugno 2001, n. 231, (cd. “Decreto 231”), lo scenario normativo in materia cyber si è ulteriormente ampliato ed arricchito.
Cybersecurity e prevenzione dei reati informatici
L’Information and Communications Technology (c.d. ICT) è un mondo fatto di complessità tecnica e versatilità pratica tanto che le tecnologie informatiche e la rete sono ormai divenuti per tutti strumenti indispensabili. All’utilità concreta e ai consistenti vantaggi fa da contraltare la crescente esposizione ad intrusioni ed attacchi informatici che minano alla sicurezza dei dati trattati e delle informazioni di carattere tecnico, commerciale ed industriale di cui ogni organizzazione dispone. Da alcuni anni, infatti, lo sviluppo del settore e la creazione di tecnologie raffinate e funzionali procede di pari passo con la gestione dei connessi fattori di rischio che ha assunto, purtroppo, una dimensione sempre più consistente.
Come noto, la cybersecurity non è un settore isolato e a sé stante ma prevede la commistione e il coinvolgimento con altre materie, esposte alle medesime problematiche. Una testimonianza di ciò è rappresentata dal legame esistente tra le disposizioni dettate in materia di cybersecurity e l’impianto normativo di cui al Decreto Legislativo 8 giugno 2001, n. 231, avente ad oggetto la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica” (cd. “Decreto 231”).
Tale decreto prevede le ipotesi di responsabilità penale di società, associazioni ed enti in genere derivante da illeciti amministrativi commessi nel loro interesse o vantaggio da una persona fisica che ricopra al loro interno una posizione apicale o subordinata, ed è stato emanato al fine di combattere illeciti rilevanti mediante la predisposizione di un sistema sanzionatorio in caso di commissione.
Al momento della sua emanazione, tra i reati presupposto della responsabilità degli enti in materia cyber, la normativa contemplava solo il reato di frode informatica a danno di enti pubblici mentre oggi, all’articolo 24-bis rubricato “Delitti informatici e trattamento illecito di dati”, prevede anche i c.d. reati informatici. La creazione di nuove ipotesi di reato rilevanti ex 231, infatti, costituisce il tassello di collegamento tra il tema cyber ed Decreto 231 e denota la rilevanza acquisita dalla cybersecurity anche in questo contesto normativo, tanto da riservargli un inquadramento ben preciso.
In particolare, tale disposizione si pone in collegamento con l’articolo 1, comma 11- bis, del decreto-legge 21 settembre 2019, n. 105 recante “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica”. La fattispecie introdotta all’articolo 24 – bis del Decreto 231 punisce, infatti, due condotte, una di tipo commissivo ed una di tipo omissivo, accomunate dalla finalità di ostacolare o condizionare i procedimenti ovvero le attività di ispezione e vigilanza di cui al DL n. 105/2019.
Dunque, l’inserimento dei reati informatici tra i reati presupposto rilevanti ai fini del Decreto 231 rende necessaria un’analisi del rischio, individuando e ponderando gli interventi da porre in essere. L’elemento unificante la cybersecurity e il Decreto 231, infatti, consiste nella condivisione del medesimo impegno per la promozione della sicurezza realizzato mediante l’elaborazione e l’adozione di misure tecniche e organizzative volte a contrastare la proliferazione di reati informatici commessi non solo ai danni dell’azienda ma anche all’interno della stessa.
L’approccio utilizzato in entrambe le materie, infatti, si basa sul risk assessment ovvero una valutazione ex ante dei rischi per la prevenzione dei reati informatici per orientare la corretta gestione a livello giuridico dell’attività dell’ente ed evitare di incorrere in responsabilità. In particolare, esistono una serie di soluzioni elaborate nell’ambito della politica aziendale adottata da ciascun ente che consentono di prevenire la commissione ed implementare i controlli, operando in maniera strutturata e pianificata.
In particolare, vi è anzitutto l’adozione di un modello di organizzazione, gestione e controllo con efficacia preventiva con relativo adeguamento e aggiornamento per implementare un sistema che, supportato anche da adeguate piattaforme informatiche, permetta di istituire efficienti canali di comunicazione, garantendo anche il coinvolgimento dell’Organismo di Vigilanza mediante i flussi informativi che consentano allo stesso di individuare eventuali anomalie da approfondire nonché la riservatezza e la tutela dei segnalanti da eventuali atti discriminatori o ritorsivi.
Oltre alla predisposizione di misure di sicurezza, anche la sensibilizzazione e la formazione del personale, con riferimento alla materia disciplinata dal Decreto 231, sono di fondamentale importanza poiché l’efficacia dei modelli adottati e delle procedure interne è valida e può esonerare l’ente da responsabilità soltanto se gli stessi sono conosciuti e messi in pratica dalle risorse.
A fronte della stratificazione normativa avvenuta, sarebbe tuttavia auspicabile un intervento di armonizzazione e coordinamento del coacervo di norme che disciplinano in maniera trasversale i sistemi di segnalazione, la sicurezza digitale di dati, sistemi e reti e i modelli di prevenzione degli illeciti nelle aziende e che consenta di gestire concretamente i rischi derivanti dal Decreto 231 e i problemi di sicurezza che caratterizzano lo scenario cyber. Infatti, solo attraverso un raccordo preciso delle disposizioni, le stesse potranno agire in armonia rafforzando ancor di più la tutela dell’ente, costituendo un sostegno che, intervenendo su più fronti, sia in grado di garantire non solo la protezione dell’organizzazione ma anche dell’intero settore in cui la stessa opera.
Per altri articoli relativi alla normativa sulla cybersecurity si rimanda a https://www.telsy.com/it/blog/#legal
A questo link gli ultimi articoli del blog di Telsy: