I modelli organizzativi del d.lgs. 231/01 e la criminalità informatica: chi, cosa, come e quando

772806_83558378 La criminalità informatica è un fenomeno ormai noto a tutti e reso ancora più familiare, se vogliamo, dal clamore che, spesso, si accompagna alle notizie di attacchi o di violazioni di sicurezza diffuse dagli organi di informazione.

Tradizionalmente la figura del criminale informatico si identifica con quella del soggetto che, per profitto proprio o dell'associazione criminosa cui appartiene, si dedica con regolarità a violare i sistemi informatici altrui.

Tuttavia la crescita di importanza dell'ICT in risposta alla sua diffusione a vari livelli della società e, soprattutto, in realtà aziendali od organizzative eterogenee, dove più avvertite sono le esigenze di competitività, automazione ed ottimizzazione dei processi che tali tecnologie consentono di soddisfare, rende rilevante, dal punto di vista statistico, la probabilità che i reati informatici possano essere commessi anche dai soggetti che occupano posizioni di vertice oppure, per inosservanza degli obblighi di direzione e vigilanza, dai soggetti ad essi subordinati.

La convenzione di Budapest del 2001, ratificata e resa esecutiva con legge 18 marzo 2008, n. 48, ha cercato di fornire una soluzione al problema della cyber criminalità, sotto forma di un maggiore stimolo alla prevenzione, attraverso la previsione di una specifica ed autonoma forma di responsabilità in capo agli enti forniti di una personalità giuridica, alle società ed associazioni, anche prive di personalità giuridica, quando gli illeciti siano commessi nel loro interesse od a loro vantaggio.

L'unico rimedio per far fronte a questa responsabilità è quello che consiste nella adozione ed efficace implementazione dei modelli organizzativi previsti dal d.lgs. 231/01 che disciplina la materia della responsabilità da reato, non soltanto di matrice informatica, degli enti collettivi.

Cosa sono i modelli organizzativi ?

Possono ritenersi un insieme di misure di natura differente (organizzativa, tecnologica, finanziaria, formativa, ecc...) dirette a prevenire la commissione di alcune tipologie di illecito, tra cui anche quelli informatici.

Prima di poter essere applicate queste misure vanno, ovviamente, identificate attraverso una analisi, il cui scopo è definire quali sono le aree operative, organizzative o tecnologiche nelle quali il rischio della commissione dei reati si presenta come probabile.

I modelli (misure) vanno documentati per iscritto, devono essere efficacemente adottati e supportati da ulteriori attività:

  • la costituzione di un organismo interno dotato di autonomi poteri di iniziativa e controllo per vigilare sul funzionamento e sull'osservanza dei modelli
  • la verifica periodica e l'aggiornamento
  • la predisposizone di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure identificate
  • l'adempimento di obblighi di informazione nei confronti dell'organo di vigilanza

Come si configura l'adozione ed attuazione dei modelli ?

Non si tratta di un obbligo ma, piuttosto, di un onere necessario per evitare la responsabilità.
Questo significa che la mancata adozione dei modelli non è sanzionata in modo autonomo ma solo come comportamento passivo che non ha evitato la commissione degli illeciti.

In che cosa consiste la responsabilità da reato ?

Nella applicazione di sanzioni differenti a seconda della gravità del fatto e del comportamento dell'ente: in pratica accanto a sanzioni pecuniarie ed alla confisca sono previste sanzioni interdittive (ad es. interdizione dall'esercizio dell'attività, sospensione o revoca di autorizzazioni, divieto di contrattare con la P.A., esclusione da agevolazioni, ecc...) ed accessorie (pubblicazione della sentenza di condanna).

Quando devono essere adottati i modelli ?

Non c'è una scadenza precisa ma è ovvio che prima si adottano modelli efficaci e prima si riduce il rischio della commissione dei reati e, di conseguenza, dell'addebito di responsabilità che ne può derivare.

Photo credit: scol22

0 commenti: