231

La sicurezza dei sistemi informatici è oggi decisamente una questione di grande importanza.

Si parla molto di questo argomento, soprattutto in concomitanza dell’entrata in vigore del GDPR che ridisegnerà gli schemi della Privacy.

Le nuove formalità da seguire nel chiedere il consenso al trattamento e la maggiore chiarezza nel redigere l’informativa aumenteranno la consapevolezza degli Interessati circa i propri diritti e garantiranno loro un maggiore controllo sui dati conferiti.

Un valido sistema di sicurezza informatica contribuirà invece a proteggere i dati custoditi.

GDPR

Otre che per tutelare i consumatori, le Aziende hanno interesse a dotarsi di efficaci presidi di sicurezza informatica soprattutto per proteggere loro stesse.

Più alto sarà il loro livello di protezione, maggiore infatti sarà la loro capacità di resistere ad attacchi hacker che potrebbero danneggiarle.

Definire procedure e processi interni tali da rendere tutti i membri dell’organizzazione consapevoli del problema e parte attiva del controllo, consente di contenere il pericolo che comportamenti superficiali possano favorire minacce in agguato.

 

La sicurezza informatica dà un duplice beneficio alle Aziende.


Tenersi in regola con le disposizioni del GDPR consente infatti di essere al riparo dalle sanzioni (che ora sono diventate particolarmente salate).

Allo stesso tempo consente di ridimensionare il rischio di subire violazioni dei dati (Cyber Risk) e di incappare in richieste di risarcimento, con relativi problemi di reputazione.

 

Al contrario, invece…


Le Aziende che non si impegnano in questo senso rimangono molto più esposte ad entrambe queste situazioni, altre che ad una ancora più grave e onerosa questione di 
responsabilità amministrativa.

 

HAI MAI SENTITO PARLARE DEL D.LGS 231/2001?

231

Si tratta della normativa che per la prima volta introduce la previsione che un’Azienda può commettere un reato, attribuendogliene la responsabilità e prevedendo un sistema sanzionatorio.

La responsabilità amministrativa in capo all’Azienda nasce da specifici illeciti amministrativi riconducibili a “reati presupposto”, commessi nell’interesse o a vantaggio dell’Azienda stessa da persone che al suo interno ricoprono ruoli di rappresentanza, amministrazione e direzione, o dai loro sottoposti.

Questa responsabilità – anche penale – si aggiunge (senza sostituirsi) a quella delle persone fisiche che hanno materialmente commesso il reato e finisce per coinvolgere personalmente i soggetti che rappresentano l’Azienda.

 

QUALI SONO LE SANZIONI CHE LE AZIENDE RISCHIANO?

231

In qualsiasi fattispecie di illecito amministrativo contestata, si applica sempre una sanzione pecuniaria.

La sua entità è calcolata in base ad un numero di quote (compreso tra cento e mille in base alla gravità del fatto) ed un valore unitario attribuito a ciascuna di esse (tra 258€ e 1.549€ a seconda del patrimonio dell’Azienda).

In pratica, la sanzione pecuniaria può arrivare fino a 1,5 mln di Euro.

A queste, possono anche aggiungersi sanzioni interdittive all’esercizio dell’attività; hanno durata limitata e possono consistere nella sospensione o revoca di autorizzazioni, di licenze o addirittura nella chiusura temporanea dell’intera Azienda. 

Può anche essere prevista la confisca del profitto del reato commesso.

Nei casi più gravi dei reati contemplati dalla 231/2001, può essere addirittura prevista la pubblicazione della sentenza di condanna, con effetti sulla reputazione dell’Azienda che potrebbero avere conseguenze ben peggiori delle sanzioni pecuniarie.

 

IL MODELLO DI ORGANIZZAZIONE E GESTIONE (MOG) EX 231/2001

231

L’unico modo che l’Azienda ha di evitare  la responsabilità dei reati commessi (e le conseguenti sanzioni) è quello di dimostrare di essersi preventivamente dotata di un Modello di Organizzazione, Gestione e Controllo idoneo a prevenirli.

Il MOG consiste in un insieme di regole, procedure e prassi che disciplinano i comportamenti di tutti i membri di una organizzazione con l’obiettivo di prevenire i reati previsti dalla 231.

Non è obbligatorio dotarsi di questo strumento, ma è l’unico sistema per ottenere l’esclusione o la limitazione della responsabilità aziendale.

In maniera attiva e positiva, la presenza del MOG favorisce una gestione aziendale trasparente e corretta, oltre che una migliore capacità di analisi e mitigazione dei rischi.

 

QUALI SONO I REATI PRESUPPOSTO DELLA 231/2001

Quello dei reati presupposto che attivano l’applicazione della 231/2001 è un elenco in continua evoluzione e aggiornamento.

Già qualche anno fa, quando la tecnologia digitale ha abbracciato l’operatività delle Aziende, la Legge 48/2008 ha modificato l’Art. 24 del D.Lgs 231/2001 con l’aggiunta della sezione “Delitti informatici e trattamento illecito dei dati“.

231

I nuovi “reati informatici” possono essere individuati in tre gruppi:

1) Danneggiamento di hardware, di software e di dati tramite accesso abusivo, intercettazione e interruzione.

2) Detenzione e diffusione di software atti a favorire i reati del punto 1).

3) Violazione di documenti informatici, tramite falsificazione di firma digitale.

Oltre che rendendosi negativamente protagonista di questi illeciti amministrativi, un’Azienda potrebbe finire per essere indirettamente ed involontariamente chiamata in causa dalla 231/2001 anche nel ruolo di vittima del Cybercrime.

 

Un esempio concreto?


Un Hacker si impossessa dell’account email dell’AD di un’Azienda ed impartisce all’ufficio Finance l’ordine di disporre un bonifico di 500 mila Euro su un C/C in un paradiso fiscale.

Cyber Risk

…mezzo milione di Euro di danno!

 

Tutto qui?


Già basterebbe quello, ma si aggiunge la 231/2001 per il sospetto di reato presupposto ex Art 24-octies, ovvero “ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita“, previsto dagli articoli 648, 648-bis e 648-ter del codice penale.

Dopo questa piccola digressione torniamo al nostro discorso principale.

 

COSA C’ENTRA IL GDPR CON LA 231/2001?

Nella logica del GDPR, ogni Azienda dovrebbe preoccuparsi di proteggere i Dati Personali che custodisce dalle minacce esterne e dal pericolo che le azioni dei membri dell’organizzazione possano favorirle.

Dopo aver analizzato e compreso le aree di rischio della propria specifica realtà, l’Azienda dovrebbe avere cura di formalizzare un vero e proprio “piano della sicurezza informatica” con procedure e norme di comportamento che ne assicurino il rispetto.

Questo adempimento diventa parte integrante del Modello Organizzativo 231 che, come abbiamo osservato, rappresenta l’unica esimente per l’Azienda di fronte al verificarsi dei reati presupposto.

231

Una delle novità introdotte dal GDPR è il cosiddetto “obbligo di notifica” delle Violazioni dei Dati Personali all’Autorità Garante. L’adeguatezza dei presidi aziendali a salvaguardia della Privacy rischia di essere messa in discussione dopo qualsiasi attacco hacker di una certa gravità.

Mai come in questo ambito, seguire la regola d’oro “prevenire è MOLTO meglio che curare” è fondamentale.


IN CONCLUSIONE

La protezione del Patrimonio di una Azienda è una questione tutt’altro che banale, soprattutto quando la Normativa si evolve in modo rapido e minaccioso ed in agguato c’è un rischio così particolare da affrontare come il Cyber Risk.

Ogni Azienda dovrebbe essere ben conscia dei rischi che si agitano al proprio interno ed all’esterno di essa; in questa complessa analisi di esigenze e soluzioni, farebbe bene ad avvalersi del supporto di qualcuno che dimostri di essere competente in materia.

Vogliamo parlarne insieme?

Parlarne non costa davvero nulla e ti arricchirai di UTILI INFORMAZIONI.

 


SONO A DISPOSIZIONE,
per questa e per qualsiasi altra esigenza assicurativa.

Alessio Cioeta

INTERMEDIARIO ASSICURATIVO

Chi sono



Se hai trovato utile questo articolo

CONDIVIDI,

oppure

LASCIA LA TUA OPINIONE
IN UN COMMENTO.

Se sei direttamente interessato

Responsabilità dell’Amministratore tra 231/2001, GDPR e Cyber Risk

Potrebbe anche interessarti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *