Modello 231: la sicurezza passa dalla formazione

News 20/10/2012

Avv. Valentina Frediani, Coordinatore ABIRT – Studio Legale Frediani

pubblicato su Information Security anno 3 n.14 ottobre 2012

Sicurezza informatica e d.lgs. 231/01: un dibattito più che mai attuale, il cui rilievo acquista spessore sempre maggiore considerando l'enorme diffusione degli strumenti e delle apparecchiature informatiche ormai utilizzate da qualsiasi Ente Collettivo, indipendentemente dalla dimensione e dal tipo di attività svolta.

Tale tematica risulta più che mai sentita laddove subentrano altre normative – a questa strettamente connesse- quali quella sulla privacy e quella relativa allo Statuto dei Lavoratori. Con la Legge 48/2008, con cui è stata ratificata la Convenzione di Budapest del Consiglio d'Europa sulla criminalità informatica del 23 Novembre 2001, sono state apportate diverse modifiche al Codice Penale e a quello di Procedura Penale e ha modificato l'art. 24 del d.lgs. 231/01 aggiungendo l'art. 24 bis (Delitti informatici e trattamento illecito di dati quali reati presupposto) che inserisce numerosi reati informatici fra quelli presupposti dal decreto in questione. Tra questi citiamo l'accesso a sistema informatico o telematico, l'intercettazione, l'impedimento o l'interruzione illecita di comunicazioni informatiche o telematiche e il danneggiamento di informazioni  dati programmi sistemi informatici o telematici, il trattamento illecito dei dati e non in ultimo, le violazioni connesse alla legge a tutela del diritto d'autore.

Per districarsi al meglio all'interno di questa complessa normativa, all'interno della Legge 48/2008 sono stati identificati tre distinti gruppi di reati: 

a) articoli 615 ter, 617 quater, 617 quinquies, 635 bis, 635 ter, 635 quater e 635 quinquies C.P.. I reati di questa categoria riguardano il danneggiamento di hardware, di software e di dati: è prevista la punizione per l'accesso abusivo ad un sistema e l'intercettazione o l'interruzione di dati compiute attraverso l'installazione di appositi software o hardware e viene considerata aggravante la commissione degli stessi reati in sistemi informatici di pubblica utilità;

b) articoli 615 quater e 615 quinquies C.P.: tali articoli puniscono la detenzione e la diffusione di software e/o di attrezzature informatiche atte a consentire la commissione dei reati di cui alla precedente lett. a);

c) articoli 491 bis e 640 quinquies C.P. Considerano la violazione dell'integrità dei documenti informatici e della loro gestione attraverso la falsificazione di firma digitale (elettronica).

Alla luce di questo risulta evidente la complessità dell'argomento determinata da un lato dalla stretta connessione fra i diversi reati, dall'altro all'assenza di sistemi completamente sicuri. Il livello di sicurezza dipende infatti da vari fattori, quali il valore di ciò che deve essere salvaguardato, lo sforzo economico che si è disposti a sostenere e il livello di rischio a cui si accetta di  esporsi.

La parola d'ordine in questi casi è sempre la stessa: prevenzione. Considerando un ente o un'azienda di qualsivoglia dimensione, il primo passo da compiere in direzione della messa in sicurezza del sistema riguarda senza dubbio la mappatura delle aree a rischio. Sistemi ICT aziendali e posta elettronica sono i proverbiali "talloni d'Achille" comuni a tutti i reparti, in cui è essenziale prevedere adeguate misure di sicurezza e di controllo. Gestione dei documenti informatici, dei dati riservati e sensibili o delle credenziali di accesso ai sistemi sono altri aspetti da non trascurare nella redazione di un modello organizzativo finalizzato alla gestione dei rischi. Sul fronte della prevenzione, gli esperti consigliano – come prima cosa – di introdurre limitazioni all'uso degli strumenti informatici attraverso l'impiego di strumenti tecnici. Tra le principali precauzioni rientrano la limitazione alla navigazione internet, via proxy, firewall, filtri accesso siti web, il blocco chat e messaging e programmi social network, l'impedimento nella installazione di programmi da parte utenti (nb "licenze"), la registrazione delle attività (Log) (cfr. provvedimento Garante Privacy  del 27/11/2008).

Una volta dotato il sistema di strumentazioni di sicurezza è opportuno definire dei protocolli penali-preventivi sulla base della normativa vigente. Come prima cosa è necessario definire e rendere note specifiche deleghe nelle differenti aree aziendali, nominando un amministratore di sistema e i suoi collaboratori specificandone ruolo, poteri e responsabilità dei singoli soggetti. Si ricorda a tal fine, che è ancora vigente il provvedimento in materia di sistema, entrato in vigore nel 2009. Benché oggi sia applicabile esclusivamente ai sistemi che contengano dati facenti riferimento a persone fisiche, non è difficile rinvenirne l'obbligo in gran parte delle realtà aziendali complesse, dei professionisti e degli enti che trattano masse dati di consumatori finali o di persone fisiche nell'ambito dei rapporti B2B.

In seguito è opportuno attuare una proceduralizzazione delle attività informatiche e di tutte quelle attività da considerarsi a rischio-reato, svolte con l'ausilio o per mezzo di strumenti informatici. Tutto il procedimento, in tutte le fasi della sua realizzazione, deve – neanche a dirlo – essere definito e supportato da un processo continuo di informazione e di formazione, rivolto ai soggetti coinvolti nel progetto.
Tale processo valutativo di individuazione e costruzione delle linee guida da seguire si basa dunque sulla ricognizione delle attività gestite dall'impresa per costatare la situazione presente, mettendola in relazione al rischio di commissione di illeciti e agli strumenti di prevenzione presenti con lo scopo di valutarne l'adeguatezza e programmare eventuali azioni di miglioramento.

Purtroppo si riscontra costantemente una assenza di attenzione da parte delle aziende, alla analisi dei reati informatici lato 231. Mentre sono altamente valorizzate le prevenzioni connesse ai reati societari, ai reati contro la PA piuttosto che contro la sicurezza sui luoghi di lavoro, i reati informatici sembrano sempre assumere un ruolo di secondo piano. Niente di più sbagliato se si pensa che l'intera vita aziendale passa attraverso i sistemi informatici.
Tanto che gli strumenti di prevenzione in ambito di applicazione 231, non sono arginabili alle procedure, ma si estendono all'assunzione di norme comportamentali spesso connesse proprio all'applicazione della privacy, alla gestione delle licenze, all'adozione di un regolamento informatico aziendale.

Ma perché la 231 trovi idonea collocazione in ambito aziendale, occorre che il primo sostenitore consapevole della rilevanza di tale normativa e di una applicazione interna concreta sia il responsabile della sicurezza informatica. Talvolta l'ignorare le problematiche connesse alla prevenzione, sposta notevolmente le attenzioni del responsabile su aspetti esclusivamente di natura informatica, mentre talvolta le procedure sono lo strumento atto a non vanificare gli investimenti effettuati. Si pensi alla commissione del reato di violazione del diritto d'autore per detenzione di programmi in assenza delle rispettive licenze. Se da una parte vietare il download o sanzionarne l'utilizzo indebito mediante richiami disciplinari è certamente un modus operandi per prevenire, dall'altra in assenza di una procedura atta a mappare preliminarmente i programmi sussistenti sulla macchina o corrispondenti al profilo al momento dell'assegnazione con rilascia di un verbale (anche da generarsi "automaticamente") è l'unico strumento giuridicamente valido atto a dimostrare che la violazione è stata preventivata come attività rischiosa/illecita, è stato informato il soggetto destinatari del divieto, sono state adottate in parallelo le soluzioni di tipo informatico. In assenza dell'insieme di questi elementi, difficilmente si può esimere un vertice apicale dalla corresponsabilità in caso di violazione di legge.

Ed ancora: si pensi al reato di accesso abusivo, ed all'assenza in molto realtà aziendali di una procedura chiara e da eseguirsi in tempi stretti, nel caso di cambio o cessazione mansione. A come talvolta non vi sia una comunicazione proceduralizzata tra l'ufficio del personale che gestisce l'inserimento o il trasferimento delle risorse, rispetto all'area IT, che spesso apprende in estremo ritardo (già 24 ore dopo è un estremo ritardo in ambito informatico …) la dismissione di quel profilo, ancora attivo.
Molte realtà aziendali sono purtroppo inconsapevoli dello spessore da attribuire all'adozione della 231. Talvolta consulenti ed operatori interni si fermano ad elencare i reati da prevenire, indicano procedure di massima, ma non entrano nella specificità dei comportamenti che devono essere canalizzati al fine di prevenire la commissione dei reati. Con il risultato che nell'ipotesi di necessità di presentare in Tribunale la documentazione 231, potrebbe decadere integralmente la validità del modello.

La diffusione anche in rete, di "prodotti" preconfezionati spesso spersonalizzati proprio per consentirne un'adozione trasversale dall'azienda che produce assemblaggi a quella di gestione immobiliare, è colpevole di aver alimentato indifferenza sul concetto di base della 231: prevenzione reale, applicabile, dimostrabile.
Ecco il perché di una formazione interna non tanto centrata sulla portata normativa quanto sull'applicazione effettiva delle procedure, ecco un intervento dell'ODV che sia critico e di stimolo, non accomandante e tendente a nascondere la polvere sotto il tappeto …
I tempi sono maturi. Oggi il ruolo di chi opera nel settore dell'information security è più che mai legato a conferire valore aggiunto non solo di natura informatica, ma anche organizzativa all'ente. E congiungere ottimizzazione organizzativa con prevenzione dei reati è certamente un mix vincente, lato consulenziale, lato aziendale.

 

Tag: modelli 231, sicurezza informatica, reati informatici, responsabile sicurezza informatica