D.Lgs 231/2001 e Sicurezza informatica dei dati

Premessa 

Il diritto penale del web è un’acquisizione abbastanza recente nel tessuto giuridico del nostro Paese ed è proprio questa la ragione per cui è in costante e continua evoluzione, atteso il peso specifico sempre più pregnante che l’utilizzo delle tecnologie informatiche riveste nelle vite di ognuno di noi. 

È del 1993 la prima legge (la n. 547) che introduce i reati informatici in Italia. Legge che, sebbene composta di soli dodici articoli, incideva in modo sostanziale sul codice penale, sia andando a integrare la struttura delle figure criminose del Codice Rocco estendendone le maglie fino a ricomprendere anche i documenti informatici e alle comunicazioni telematiche, sia introducendo nuovi reati nel tessuto codicistico. 

Da quel momento in poi la strada dei reati informatici è sempre stata più seguita dal legislatore, che si è adeguato all’evoluzione del percorso tecnologico.  

I reati informatici sono ricompresi, infatti, anche nel novero dei reati che, alle condizioni di imputabilità previste dalla normativa, possono dar luogo alla responsabilità dell’impresa ai sensi del D.lgs. 231/2001.  

Nello specifico, in termini di rischi penali per l’impresa, in realtà i cyber crimes possono assumere rilievo sia quando l’impresa sia essa stessa vittima di un attacco informatico, sia quando l’impresa ne sia invece responsabile.  

Cyber Crimes e Impresa

I reati informatici ricomprendono tanto quelli che vengono commessi attraverso il ricorso a processi di automazione (come è il caso della previsione di cui all’art. 640-ter c.p., la frode informatica) tanto quelli che possono essere commessi “anche” mediante o attraverso sistemi telematici e informatizzati e, più in generale, commessi sul web. 

Ecco perché questa seconda tipologia di reati, anche detti informatici in senso ampio, viene spesso indicata come categoria di reati cibernetici, potendo essere le relative condotte commesse nel domicilio virtuale di ognuno e pertanto interessare indistintamente ogni utente connesso con gli altri.  

Sono infatti reati comuni che intervengono nelle interazioni tra gli utenti connessi, collegati all’elaborazione, comunicazione, trasmissione e trattamento in rete dei dati, contenuti digitali e informazioni di ogni tipo.  

Tra questi le fattispecie più comuni sono rappresentate dal phishing e dal ransomware, entrambe ancora prive di una precisa definizione giuridica e di volta in volta sussunte dalla giurisprudenza in diverse fattispecie. 

Principiando all’esempio del phishing, questo viene identificato genericamente con l’intrusione fraudolenta in sistemi informatici finalizzata ad ottenere l’accesso a informazioni personali o riservate al fine di trarne un profitto diretto.  

Solitamente questo genere di attacchi informatici avviene tramite l’invio di e-mail o sms o attraverso l’uso del telefono, nella variante voice phishing. 

Ritenuto oggi una forma particolare di social engineering, perché sfrutta l’inesperienza e la buona fede dei cyber utenti, il phishing è stato nel tempo ricondotto dalla giurisprudenza in diverse fattispecie (che vanno dalla truffa al danneggiamento informatico, passando per la sostituzione di persona). 

Parzialmente differente, sebbene non negli esiti e approdi ermeneutici, è il ransomware, consistente in una categoria di software che attaccano un dispositivo al fine di criptare dati e informazioni ivi detenute, impendendo al legittimo titolare l’accesso e chiedendo un riscatto allo stesso per ottenere la restituzione del proprio domicilio virtuale e la rimozione del virus.  

Anche questa condotta, non espressamente prevista dal codice penale, viene di volta in volta sussunta in fattispecie che vanno dall’estorsione alla detenzione e diffusione abusiva di codici di accesso a sistemi informatici. 

Questi reati, esemplificativi ma certamente non esaustivi in un panorama in continua espansione dal punto di vista del diritto penale del web, rappresentano la punta dell’iceberg di un fenomeno in continua espansione, soprattutto in questa fase pandemica che sta interessando il Paese e che favorisce e incentiva lo smart working, incrementando l’utilizzo di sistemi informatici a distanza.  

I presidi

Come detto, i reati informatici sono ricompresi nel novero di quelli che possono dare luogo a una responsabilità di impresa ai sensi degli artt. 24 e 24-bis del D.lgs. 231/2001.  

Diverse sono le aree aziendali che possono essere coinvolte: i sistemi informatici sono ormai alle basi delle aree organizzative e nevralgiche di qualsivoglia impresa. 

É necessario, allora, per proteggersi da rischi interni ed esterni, predisporre specifici presidi tecnici.  

Questi possono essere individuati in strumenti tra i più vari: policies specifiche per i dispositivi informatici in dotazione ai dipendenti o due diligence per selezionare programmi e software che possano assicurare livelli di protezione adeguati.  

Di non poco conto è anche il ruolo che può essere svolto dall’Ufficio Informatico di cui le aziende , anche piccole e medie devono dotarsi.  

Oltre che nella predisposizione di quelli che sono i collegamenti minimi per assicurare ai dipendenti lo svolgimento del lavoro, queste strutture devono predisporre anche specifici presidi tecnici, nonché idonei sistemi di segnalazione di anomalie anche mediante simulazioni.  

Fondamentale è infatti anche la cultura del rischio e della sua prevenzione che, in questo ambito, si diffonde attraverso apposite modalità di formazione e di approfondimento.  

In questo modo tanto i rischi interni che quelli esterni possono essere arginati nell’ottica della minimizzazione del rischio. 

Conclusioni 

Quanto si è detto sinora rende evidente come il rischio legato ai reati informatici non è direttamente collegato allo sviluppo tecnologico, o meglio non è un problema solo tecnologico.  

Servono competenze specifiche per contrastare il fenomeno, professionisti in grado di stilare procedure e policies adeguate.  

In altri termini, serve il radicamento della cultura della compliance.