In futuro, forse, nessuna scusante per la (in)sicurezza informatica

In data 20 febbraio 2008 la camera dei deputati ha approvato il disegno di legge nr. 2807 sulla ratifica ed esecuzione della convenzione di Budapest del 2001 relativa alla criminalità informatica.

Ora bisognerà attendere l'approvazione anche da parte dell'altro ramo del Parlamento.

Al di là delle modifiche alle norme del codice penale e di procedura penale, vorrei fare una breve considerazione sul potenziale allargamento della responsabilità amministrativa delle persone giuridiche alle ipotesi di commissioni dei reati informatici che verrebbe ad essere prevista dal nuovo articolo 25-septies del decreto legislativo 8 giugno 2001 nr. 231.

Con le dovute eccezioni l'Italia, come si sa, è un paese nel quale la sicurezza informatica viene ancora percepita dalla maggior parte delle aziende come un fattore di puro costo che frena il business anzichè renderlo più competitivo.

Per combattere questa pericolosa tendenza c'è sicuramente bisogno di un opera di educazione lunga e continua che non può però prescindere dall'esistenza di un adeguato supporto normativo.

In passato una certa inversione di tendenza è già stata parzialmente attivata con il decreto legislativo 196/03 che, nella prospettiva di garantire una adeguata protezione dei dati personali, ha finito per codificare nel nostro ordinamento giuridico alcune tra le più note best practices in materia di sicurezza (la maggior parte delle quali è contenuta nell'allegato B).

Forse la probabile ratifica della convenzione potrebbe dare una ulteriore scossone in questa direzione tanto più che, per effetto della modifica citata, la sicurezza IT dovrebbe essere inglobata, molto più di quanto non lo sia attualmente, nelle strategie di corporate governance e di controllo interno delle persone giuridiche.

0 commenti: