48
Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Torino, 24 maggio 2010 Dott. Carlo Salomone

Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Embed Size (px)

Citation preview

Page 1: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001

Reati informatici(art. 24-bis)

Gruppo di lavoro Il modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001

Torino, 24 maggio 2010

Dott. Carlo Salomone

Page 2: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

2

La legge 18/03/2008 n. 48

“Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno”

ha introdotto nel D.Lgs. 8/06/2001 n 231 il nuovo

art. 24-bis

(Delitti informatici e trattamento illecito di dati quali reati presupposto)

REATI INFORMATICI E D.LGS 231/2001

Page 3: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

3

ART. 24-BIS. c.1 - ESTRATTO DELLA NORMA

(reati presupposto e sanzioni)

accesso abusivo a sistema informatico o telematico,

intercettazione , impedimento, interruzione illecita di

comunicazioni informatiche o telematiche

installazione di apparecchiature atte a intercettare

comunicazioni informatiche o telematiche

danneggiamento di informazioni dati programmi sistemi informatici o telematici,

sanzione pecuniaria da cento a cinquecento quote

interdittive: di esercizio attività,

sospensione/revoca licenze, ecc. funzionali illecito,

divieto pubblicizzare beni e servizi

Page 4: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

4

ART. 24-BIS. c.2 - ESTRATTO DELLA NORMA

(reati presupposto e sanzioni)

detenzione abusiva di codici di accesso

installazione di apparecchiature (…) atte a interrompere

e danneggiare – sistemi informatici e telematici

sanzione pecuniaria sino a trecento quote

interdittive: sospensione/revoca licenze, ecc. funzionali illecito,

divieto pubblicizzare beni e servizi

Page 5: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

5

ART. 24-BIS. c.3 - ESTRATTO DELLA NORMA

(reati presupposto e sanzioni)

falsità relative a documento informatico

frode del certificatore

sanzione pecuniaria sino a quattrocento quote.interdittive: divieto contrattare con PA, eccetto per

ottenimento pubblico servizio

esclusione agevolazioni, finanziamenti, ecc.

eventuale revoca dei concessi

divieto pubblicizzare beni e servizi

Page 6: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

6

Altri reati informatici (non inseriti nell’art. 24 bis)- Frode informatica (art. 640-ter c.p.) ai danni di Stato o ente pubblico

(in art. 24 D.Lgs 231/2001)

- Violazione diritto d’autore (artt. 171 …, -bis, -ter, -septies, -octies

(Legge 22/04/1941) (in art. 25-novies D.Lgs 231/2001, introdotto

dalla legge 23 luglio 2009 n. 99)

Reati informatici non inclusi nel D.LGS 231/2001- Frode informatica non ai danni di Stato o ente pubblico (art. 640-ter c.p.) - Falsificazione, alterazione o soppressione del contenuto di

comunicazioni informatiche o telematiche (Art. 617-sexies c.p). - Falsa dichiarazione o attestazione al certificatore di firma elettronica

sull’identità o su qualità personali proprie o di altri (Art. 495-bis)

REATI INFORMATICI E D.LGS 231/2001

Page 7: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

7

REATO INFORMATICOReato commesso per mezzo di sistemi informatici e/o telematici e/o per cui vi siano prove in formato elettronico (“Convenzione di Budapest”)

SISTEMA INFORMATICOQualsiasi apparato in grado di svolgere funzioni autonome di elaborazione, anche se minime

SISTEMA TELEMATICOGruppo di apparecchiature interconnesse, una o più delle quali, per mezzo di un programma, compiono l’elaborazione automatica di dati (“Convenzione di Budapest”)

REATI INFORMATICI E D.LGS 231/2001

ALCUNE DEFINIZIONI

Page 8: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

8

- falsità: riferita ai documenti informatici

- violazione di domicilio: accesso abusivo, detenzione/diffusione

di codici di accesso, diffusione di hardware/software atti a

danneggiare/interrompere sistemi informatici/telematici

- inviolabilità dei segreti: intercettazione, interruzione,

impedimento di comunicazioni informatiche/telematiche,

installazione di apparecchiature di intercettazione

- danneggiamento: di informazioni, dati, sistemi informatici e

telematici, “semplici” e di “pubblica utilità”

- truffa: frode informatica, effettuata alterando/operando su

informazioni, dati sistemi informatici/telematici

frode informatica del certificatore di firma elettronica

REATI INFORMATICI E D.LGS 231/2001

COLLOCAZIONE

Page 9: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

9

REATI PRESUPPOSTO

Falsità in documenti informatici (art. 491-bis c.p.)

E’ il delitto di commissione di falsità, secondo i seguenti articoli del c. p.

476-481 Falsità materiale, ideologica commessa da pubblico ufficiale

482-483 Falsità materiale, o ideologica in atto pubblico, di privato

484-488 Falsità in registri, scritture private, fogli firmati in bianco

489 Uso di atto falso

490 Soppressione di atto vero

su un documento informatico, definito dal D.Lgs 7/03/2005 n. 82 Art. 1 P (Codice Amministrazione Digitale) e successive integrazioni,

“... la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”

Punti rilevanti del nuovo art. 491-bis (da Legge 18/03/2008 n. 48)• non più legame al supporto fisico• efficacia probatoria: allineamento al C.A.D.: “firma elettronica qualificata”

Page 10: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

10

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

Aumenti di pena (da uno da uno a cinque anni) se reo

1) è pubblico ufficiale (…), abusa dei poteri / viola doveri di funzione o servizio, è investigatore privato (anche abusivo), operatore del sistema;

2) usa violenza sulle cose o alle persone, è palesemente armato;

3) distrugge o danneggia il sistema, ne interrompe il funzionamento, distrugge o danneggia dati, informazioni programmi in esso contenuti.

Se si tratta di sistemi informatici o telematici di interesse militare o pubblico pena rispettivamente da uno a cinque anni e da tre a otto anni.

REATI PRESUPPOSTO

Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.)

Page 11: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

11

REATI PRESUPPOSTO

Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.)

Figure che accedono abusivamente a rete informatica:

• hacker: accede al sistema solo per dimostrarne la violabilità

• cracker: vi accede per danneggiarlo o utilizzarlo indebitamente

Tipologie di accesso abusivo:

a) Accesso a sistema interconnesso a rete (Lan, WAN, Internet) cui NON si è autorizzati

- caso hacker:

“traccia imbarazzante” per IT, che ripristina / tende a nascondere il fatto

- caso cracker: come hacker, ed inoltre

presenza di danno, talvolta di difficile valutazione, meno nascondibile

In ogni caso esiste un’insufficiente protezione all’accesso (tecnica o pratica)

oppure dolo dall’“interno”, che ha rivelato/facilitato le modalità di accesso

Page 12: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

12

REATI PRESUPPOSTO

Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.)

Tipologie di accesso abusivo (segue):

b) Accesso a sistema di cui si dispone validamente delle credenziali, ma per funzioni diverse dall’accesso effettuato

- normalmente può essere un dipendente o collaboratore infedele

- frequentemente: è “impersonamento” di collega autorizzato, conoscendone

illecitamente le credenziali

- è restare all’interno di un sistema contro la volontà (“policy”) del

responsabile (amministratore IT)

Page 13: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

13

REATI PRESUPPOSTO Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.)

ottenere illecitamente, riprodurre, diffondere codici, parole chiave, ecc. per

oppure

fornire indicazioni idonee a

accedere a un sistema informatico o telematico, protetto da misure di

sicurezza

per ottenere profitto o arrecare danno

Sanzioni:

reclusione sino ad un anno e multa sino a euro 5.164

aggravanti (pubblico ufficiale, operatore di sistema, sistemi di “pubblica utilità”)

reclusione da uno a due anni e multa da euro 5.164 a euro 10.329

Page 14: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

14

REATI PRESUPPOSTO Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies)

procurare produrre riprodurre diffondere apparecchiature, dispositivi,

programmi informatici (“virus” e “malware” in generale)

con lo scopo di

- danneggiare sistema informatico o telematico, informazioni,

dati programmi

- interromperne/alterarne il funzionamento

Sanzioni:

reclusione fino a due anni, multa sino a euro 10.329.

Page 15: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

15

Art. 615-quater (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici )

Art. 615-quinquies (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico )

- permettono l’accesso abusivo (615-ter)

- cui può seguire danneggiamento (artt. 635-bis, ter, quater, quinquies), o

intercettazione di comunicazioni (617-quater) , o installazione di

apparecchiature di intercettazione di comunicazioni (617-quinquies)

- in particolare il 617-quinquies, in quanto si installino dispositivi, può indicare

una insufficiente protezione fisica di sistema e rete.

REATI PRESUPPOSTO

Page 16: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

16

REATI PRESUPPOSTO Intercettazione, impedimento, interruzione illecita di comunicazioni informatiche/telematiche (art. 617-quater c.p.)

intercettare, impedire, interrompere comunicazioni da/tra sistema/i informatici o telematici

rivelare al pubblico il contenuto parziale/totale delle comunicazioni

NB

- comunicazioni: trasmissioni di dati suoni immagini programmi via

sistemi ICT

- requisiti: fraudolenza; rivelazione “al pubblico”

Sanzioni: (querela) reclusione da sei mesi a quattro anni.

ma procedimento d’ufficio se pubblico ufficiale, operatore di sistema, sistemi di “pubblica utilità”, investigatore privato (anche abusivo)

reclusione da uno a cinque anni

Page 17: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

17

REATI PRESUPPOSTO Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.)

illegalmente installare apparecchiature atte ad intercettare, impedire o interrompere comunicazioni di sistema informatico o telematico o di più sistemi

NB

- comunicazioni: trasmissioni di dati suoni immagini programmi via

sistemi ICT

- installazione: è sufficiente la funzionalità dell’apparato, anche se non

attivo o utilizzato

Sanzione: reclusione da uno a quattro anni

Aggravanti: pubblico ufficiale, operatore di sistema, sistemi di “pubblica utilità”, investigatore privato (anche abusivo):

reclusione da uno a cinque anni

Page 18: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

18

REATI PRESUPPOSTO Danneggiamento di dati e sistemi informatici e telematici

Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.)distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici altrui

Sanzione (querela) reclusione da 6 mesi a tre anni

Aggravanti (d’ufficio) violenza, oper sistema, reclusione da uno a quattro anni

Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.)

tramite condotte di cui all’art. 635-bis, o con introduzione/trasmissione di dati, informazioni o programmi, distruggere, danneggiare, rendere inservibili sistemi informatici o telematici altrui, ostacolarne il funzionamento

Sanzione reclusione da uno a cinque; aumento per aggravante

Nb: sono reati di evento (è necessario il verificarsi del danno)

Page 19: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

19

REATI PRESUPPOSTO Danneggiamento dati o sistemi informatici/telematici di pubblica utilità

Danneggiamento di informazioni, dati e programmi informatici di pubblica utilità (art. 635-ter c.p.)commettere fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici usati da / pertinenti a Stato, ente pubblico o di pubblica utilità

Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.)commettere azioni di cui art. 635-quater dirette a distruggere, danneggiare, rendere inservibili sistemi informatici o telematici di pubblica utilità

Nb

- delitto di attentato (non necessario il verificarsi dell’evento dannoso)

- delitto aggravato se l’evento si verifica;

aggravanti: violenza / operatore di sistema

Page 20: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

20

Art. 617-quater (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche)

Art. 617-quinquies (Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche)Art. 635-bis (Danneggiamento di informazioni, dati e programmi informatici)

Art. 635-ter (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità)

Art. 635-quater (Danneggiamento di sistemi informatici o telematici

Art. 635-quinquies (Danneggiamento di sistemi informatici o telematici di pubblica utilità)

- Presuppongono l’accesso abusivo (615-ter)

- In sintesi si prevengono se la protezione del sistema ne regola l’ingresso e

l’uscita

REATI PRESUPPOSTO

Page 21: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

21

REATI PRESUPPOSTO

Frode informatica del soggetto che presta servizi di certificazione di firma elettronica

(art. 640-quinquies c.p.)

Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a 1.032 euro ELEMENTI CARATTERIZZANTI:

- reato proprio (possibilità di concorso), dolo specifico

- si riferisce ad ente che rilasci certificati digitali qualificati ai sensi del

D.Lgs 7/03/2005 n. 82 (Codice Amministrazione Digitale)

- norme rilascio certificato: (…) identificazione soggetto, pubblicazione,

CRL, non essere depositario dati per creazione firma digitale titolare

Page 22: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

22

accesso abusivo615-ter

detenzione codici

615-quater

diffusione hw/sw dannosi615-quinquies

CORRELAZIONE E CONCORSO TRA I REATI

Page 23: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

23

accesso abusivo615 ter

danneggiamentodati/programmi

635 bis ter

danneggiamentosistemi info/tele

635 quater quinquies

intercettazioneinterr comunic

617 quater

installazioneappar intercett617 quinquies

CORRELAZIONE E CONCORSO TRA I REATI

Page 24: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

24

accesso abusivo615-ter

detenzione codici

615-quater

frode informatica

640-ter

FalsitàDocumento informatico

491-bis

Reati compiuti attraverso l’uso di sistema informatico

CORRELAZIONE E CONCORSO TRA I REATI

Page 25: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

25

Alcune Sentenze Cassazione 1993-2009 su reati informatici 41 viste, di cui

18 con attribuzione responsabilità penale per un solo reato informatico

7 con attribuzione responsabilità penale per due reati informatici, tutte con 615-ter

Frequenza articolo

5 491-bis

11 615-ter

5 615-quater

0 615-quinquies

4 617-quater

1 617-quinquies,

Frequenza articolo

1 635-bis

0 635-ter

0 635-quater

0 635-quinquies

5 640-ter

0 640-quinquies

Fonte: interrogazione non esaustiva di banche dati giurisprudenza

CORRELAZIONE E CONCORSO TRA I REATI

Page 26: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

26

Correlazione e concorso tra i reati

NOTA

Elementi rilevanti per la prevenzione dei reati:

• controllo degli accessi dall’esterno al sistema

• controllo del corretto uso del sistema all’interno

• controllo della corretta attività verso sistemi esterni

Page 27: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

27

Responsabilità ex Dlgs 231/2001

e reati informatici

Art. 5. Responsabilità dell'ente

1. L'ente e' responsabile per i reati commessi nel suo interesse o a suo vantaggio:

a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso;

b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a).

2. L'ente non risponde se le persone indicate nel comma 1 hanno agito nell'interesse esclusivo proprio o di terzi

Page 28: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

28

AREE A RISCHIO – ASPETTI GENERALI

LA POSSIBILITA’ DI COMMETTERE REATI INFORMATICI

E’ CONNESSA ALL’USO DEI SISTEMI INFORMATICI E TELEMATICI,

DIFFUSI IN OGNI AMBITO AZIENDALE E ORGANIZZATIVO.

Page 29: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

29

AREE A RISCHIO – PRESUPPOSTI

falsità di documenti informatici (art. 491-bis)

Presenza di documenti informatici nei processi

dell’ente

di enti esterni cui vi è prassi di accesso

reati connessi all’accesso (art. 615-ter, art. 615-quater)

Accesso dall’esterno al sistema da parte di soggetti esterni al’ente (es. siti web informativi, di e-commerce; di consultazione ed interazione)

Accesso dall’esterno al sistema da parte di soggetti appartenenti all’ente (es. reti private virtuali, o “ VPN”)

Prassi nei processi dell’ente di accesso a ambienti informatici e telematici interni e/o esterni

Page 30: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

30

reati di intercettazione, interruzione, impedimento di comunicazioni

(art. 617 quater, art. 617-quinquies)

reati di danno a sistemi informatici e telematici in senso lato

(art. 615-quinquies) (virus informatici e simili)

(art. 635-bis, art.635-quater) (danneggiamento a soggetti privati)

(art. 635-ter, art.635-quinquies) (danneggiamento a soggetti

pubblici o di pubblica utilità)

i presupposti sono gli stessi dei reati di accesso

frode informatica del certificatore (art.640-quinquies)

sussistenza dello status di ente certificatore (DPR 28/12/2000, n. 445) (al fine della possibilità di commissione del reato proprio)

nb: il reato può essere commesso in concorso da altri soggetti

AREE A RISCHIO – PRESUPPOSTI

Page 31: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

31

• inserire nel Codice Etico-Comportamentale principi e valori per l’utilizzo della

strumentazione informatica nello svolgimento della sua attività;

• recepire nel Codice Etico-Comportamentale, almeno come richiamo, le

modalità di utilizzo e le linee-guida di impiego degli strumenti informatici

contenute nel Documento di Policy Aziendale sull’informatica• inserire nei contratti con “esterni” l’impegno al rispetto del Codice Etico

In particolare occorre

a) definire e regolamentare affidamento/custodia degli strumenti informatici;

b) definire e regolamentare i limiti di utilizzo degli strumenti informatici (di

norma solo per attività lavorative e non per personali)

c) disporre regole sull’utilizzo di dispositivi e di credenziali di accesso e loro

utilizzazione, compreso l’uso delle aree dei server aziendali;

d) definire e regolamentare le modalità di produzione della documentazione,

anche in forma cartacea, e della loro custodia;

e) definire e regolamentare l’impiego della rete internet e della posta elettronica

MODELLO ORGANIZZATIVO CODICE ETICO

Page 32: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

32

Metodologia IT Governance Institute (2006)

Page 33: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

33

Metodologia IT Governance Institute (2006)

Page 34: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

34

1 Plan&Scope IT controls

Pianificazione e ricognizione di tutti i componenti dell’infrastruttura IT dell’azienda che richiedono un livello di protezione per vulnerabilità relative al reato di frode informatica, inclusi i sistemi, le reti, le applicazioni e i dati.

La valutazione delle risorse deve essere verificata in termini quantitativi e qualitativi per consentire la corretta pianificazione di contromisure o di misure di protezione, oltre che delle risorse da coinvolgere nel progetto.

Metodologia IT Governance Institute (2006)

Page 35: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

35

2 Assess IT RiskValutazione del livello di rischio associato all’infrastruttura IT (assess IT risk). Un rischio è la probabilità che un agente di pericolo sfrutti una vulnerabilità, definita come un punto debole nel sistema informatico dell’azienda che può avere un’origine tecnologica piuttosto che legata a persone o processi.Vulnerabilità: imperfezioni tecnologiche nell’implementazione di software o hardware o nella modalità di progettazione o nella struttura di un sistema, criteri organizzativi definiti e comunicati in modo non efficace:–un firewall con diverse porte aperte: rischio accessi indebiti–utenti di un ambiente non sono addestrati su processi e procedure–sistema di rilevamento di intrusioni non implementato su una rete: il rischio che un attacco passi inosservato fino a guasto o malfunzionamento del sistema.

Metodologia IT Governance Institute (2006)

Page 36: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

36

3-4 Document Controls & Evaluate Control … Effectiveness

Valutazione degi attuali protocolli e procedure di controllo e di sicurezza adottati in azienda (documents controls), anche mediante delle fasi di test della loro operatività (evaluate control design and operating effectiveness).

5 Prioritize & Remediate Deficiencies

Effettuazione della gap analysis secondo gli standard di controllo previsti e rilevazione delle inefficienze e dei malfunzionamenti che devono essere gestiti e risolti (prioritize and remediate defIciencies).

6 Build Sustainability

Mantenere la sostenibilità del modello adottato (sustainability).

Ciò implica passare dalla logica del processo svolto una tantum - esclusivamente per la compliance - ad una più ampia e pervasiva cultura dell’IT governance e security.

Metodologia IT Governance Institute (2006)

Page 37: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

37

Nell’effettuare la mappatura delle aree di rischi occorre considerare che

a) l’utilizzo della strumentazione informatica coinvolge ogni area

e processo

b) sono rilevanti le capacità informatiche singole

c) la commissione di reati informatici presupposti può avvenire sia con i

mezzi informatici aziendali che di proprietà singola

MODELLO ORGANIZZATIVO ANALISI DEI RISCHI

Page 38: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

38

Definizione dei protocolli penal-preventivi:

• definizione e pubblicizzazione di specifiche deleghe nelle varie

aree aziendali (in particolare, nell’area Informatica), con

precisa specificazione di poteri e responsabilità dell’amministratore

di sistema e dei suoi collaboratori;

• proceduralizzazione delle attività informatiche, nonché delle altre

attività da considerarsi a rischio-reato, svolte con strumenti informatici;

• definizione di un processo continuo di informazione e di formazione

generalizzato su commissibilità di reati informatici presupposti,

e relative misure di prevenzione

MODELLO ORGANIZZATIVO GESTIONE DEI RISCHI

Page 39: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

39

Introdurre limitazioni all’uso degli strumenti informatici tramite strumenti tecnici:

a) Limiti navigazione internet, via proxy, firewall, filtri accesso siti web

b) blocco chat e messaging, programmi social network

c) impedire installazione programmi da parte utenti (nb “licenze”)

d) registrazione delle attività (Log) cfr. provvedimento Garante Privacy

del 27/11/2008 (Misure … prescritte ai titolari dei trattamenti … circa

… attribuzione funzioni a amministratori di sistema)

MODELLO ORGANIZZATIVO GESTIONE DEI RISCHI

Page 40: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

40

Collegamento/integrazione con le misure derivanti dal D.Lgs. 196/2003:

- sistemi di autenticazione informatica: non prevengono i reati di

origine interna, ma ne permettono il monitoraggio

- sistemi di autorizzazione: restringono l’accesso ai soli funzionalmente

competenti

- altre misure di sicurezza: utili quelle contro rischio intrusione

(punto 16 All. B) che prevengono i reati di origine esterna

- documento programmatico sulla sicurezza e

- ulteriori misure in caso di trattamento di dati sensibili e giudiziari; e

- misure di tutela e garanzia (terzi incaricati)

hanno effetto protettivo ma non preventivo

IN SINTESI: misure ex 196/2003: prevenzione soprattutto reati esterni

MODELLO ORGANIZZATIVO GESTIONE DEI RISCHI

Page 41: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

41

Controllo accessi•attribuzione e gestione credenziali di accesso ai programmi, applicazioni, archivi•creazione, modifica e cancellazione di account e profili;•procedure formali per l’assegnazione di privilegi speciali (ad es. amministratori di sistema, super-user);

Monitoraggio•sistemi di monitoraggio e log (registrazione eventi, rilevazione e avviso di anomalie);•verifica sul tracciamento e monitoraggio degli eventi di sicurezza sulla rete;

Policy e organizzazione•definizione ed organizzazione degli Information Systems Security Officers (ISSO); •definizione dei ruoli degli utilizzatori, loro profili di utilizzo e poteri;•verifica atto di nomina Amministratore di Sistema.•definizione policy di uso dei dati aziendali (gradi di riservatezza e ambiti);•definizione di politiche di sicurezza delle informazioni, gestione e uso delle password, modalità di effettuazione dei log-in e log-out, uso della posta elettronica, modalità di utilizzo dei supporti rimovibili, l'uso dei sistemi di protezione (antivirus,•accertamento circa l’attività di controllo sull’ operato degli Amministratori di Sistema in conformità alle policy aziendali.

AREE A RISCHIO –

CONTROLLI PER TIPO DI USO IT

Page 42: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

42

Privacy•programma di informazione/formazione periodica dell'incaricato in ambito privacy •Individuazione di ruoli e responsabilità in ambito privacy ed osservanza delle procedure aziendali in materia. •controllo redazione o aggiornamento del Documento Programmatico sulla Sicurezza (DPS).•verifica circa l’avvenuta menzione nella relazione accompagnatoria al bilancio della società dell’avvenuto o meno aggiornamento del DPS;•controllo in merito alle attività di verifica compiute circa il rispetto delle misure minime di sicurezza privacy (i.e., controlli periodici IT);•controllo a campione degli atti di nomina dei ruoli e delle responsabilità in ambito privacy (i.e., incaricati, responsabili, ecc.) e della documentazione rilevante in materia (i.e., informativa ex art. 13 per ogni categoria di interessati).

AREE A RISCHIO –

CONTROLLI PER TIPO DI USO IT

Page 43: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

43

Sicurezza fisica•protezione fisica dei sistemi e relativi locali (hardware, software, lan, accessi esterni);•Uso di proxy, firewall, reti private virtuali•gestione delle credenziali fisiche di accesso (badge, pin, codici di accesso, token authenticator, valori biometrici, ecc.);•sistemi di continuità, salvataggio e archiviazione;•adozione di meccanismi di segregazione delle reti;•Verifica della sicurezza fisica dei siti ove risiedono i sistemi IT;

Sicurezza logica•sistemi di protezione logica di dati e documenti (integrità, riservatezza, autenticità, non ripudio, firma digitale;•adottare una politica per l'uso di controlli crittografici per la protezione delle informazioni;•adottare una procedura a governo del processo di generazione, distribuzione ed archiviazione delle chiavi crittografiche da parte della società;•Uso di proxy, firewall, reti private virtuali

AREE A RISCHIO –

CONTROLLI PER TIPO DI USO IT

Page 44: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

44

Documenti informatici•adottare procedure che regolamentino la digitalizzazione con firma digitale dei documenti, disciplinando i responsabili, i livelli autorizzativi, l' utilizzo dei sistemi di certificazione, l'eventuale utilizzo e invio dei documenti e le modalità di storage

Posta elettronica messaging•adottare procedure che regolamentino la digitalizzazione con firma digitale dei documenti, disciplinando i responsabili, i livelli autorizzativi, l' utilizzo dei sistemi di certificazione, l'eventuale utilizzo e invio dei documenti e le modalità di storage•Introdurre limiti alla navigazione internet, con uso di proxy, firewall, filtri accesso siti web •Bloccare salvo profili autorizzati l’uso di programmi di chat, messaging e social network •Impedire l’installazione programmi da parte di utenti non autorizzati

Software e applicazioni•Disponibilità di ambienti separati di test, collaudo, produzione•Impedire l’installazione programmi da parte di utenti non autorizzati•Definire, attuare e verificare l’applicazione di procedure di debugging e aggiornamento software e applicazioni

AREE A RISCHIO –

CONTROLLI PER TIPO DI USO IT

Page 45: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

45

0) TUTTE LE AREE

Accesso ai sistemi ICT aziendali

Uso di posta elettronica

1) CORPORATE GOVERNANCE E DIREZIONE GENERALE

gestione documenti informatici

gestione dati riservati

gestione credenziali e certificati digitali

2) AMMINISTRAZIONE – LEGALE – AFFARI SOCIETARI

gestione documenti informatici

gestione dati riservati

gestione credenziali e certificati digitali per comunicazioni a uffici pubblici

3) FINANZA E CONTROLLO

processi di pagamento

accesso a sistemi di banche e istituzioni finanziarie

AREE A RISCHIO –

RIFERIMENTI AI PROCESSI

Page 46: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

46

4) COMMERCIALE E VENDITE

accesso a sistemi di clienti e partner commerciali

gestione documenti informatici

5) R&S

accesso a sistemi esterni

gestione documenti informatici

gestione dati riservati

gestione credenziali e certificati digitali

6) RISORSE UMANE

gestione dati riservati, sensibili

7) APPROVVIGIONAMENTO E ACQUISTI

accesso a sistemi di fornitori e partner commerciali

gestione credenziali e certificati digitali per accesso a gare e processi di e-procurement

gestione documenti informatici

AREE A RISCHIO –

RIFERIMENTI AI PROCESSI

Page 47: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

47

8) PRODUZIONE & LOGISTICA

accesso a sistemi di fornitori, clienti e partner commerciali

gestione credenziali e certificati digitali per comunicazioni a uffici pubblici (es. dichiarazione al registro INES – EPER [“emissioni inquinanti industriali”])

10) SICUREZZA FISICA

presidio e protezione fisica infrastrutture ICT

11) ICT

presidio e protezione logica sistemi ICT

gestione documenti informatici

gestione credenziali di accesso ai sistemi ICT interni, esterni

gestione procedure assegnazione credenziali e certificati digitali

AREE A RISCHIO –

RIFERIMENTI AI PROCESSI

Page 48: Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 Reati informatici (art. 24-bis) Gruppo di lavoro Il modello di organizzazione, gestione

Gdl ex-231/2001 – Delitti informaticiTorino 24 maggio 2010 Dott. Carlo Salomone

48

Riferimenti e documentazione

“I nuovi reati informatici” (a cura di Paolo Giovanni Demarchi),

Giappichelli, Torino, 2009

IT Governance Institute, “IT control objectives for Sarbanes Oxley”, 2nd Edition, 2006

Rivista “La responsabilità amministrativa delle società e degli enti ”

http://www.rivista231.it/

Giuseppe Dezzani, "Una nuova ipotesi di reato degli enti collettivi: la criminalità

informatica" anno 2008 n 3, pp 71-80

Giuseppe Dezzani, Lorenzo Dell’Agnola, “l’implementazione del modello organizzativo,

gestionale e di controllo negli enti collettivi a seguito dell’inserimento di reati

informatici fra i reati presupposti ex d.lgs. 231/2001 operato dalla legge 48/2008”,

anno 2009 n. 3 pp 65-78

Siti

http://www.complianceaziendale.com/

http://www.aodv231.it/ (Associazione Componenti OdV)

http://www.aiiaweb.it/ (Associazione Italiana Internal Auditors)