Reati informatici, il modulo che salva le aziende

di Avv. V. Frediani - La legge 231 vige dal 2001 e molte aziende vi hanno finora aderito come un obbligo. Poche hanno compreso il valore dei sistemi di monitoraggio delle attività dei propri impiegati. Qualcosa sta cambiando?

Roma - Sono stata relatrice nei giorni scorsi a SMAU PADOVA per AIPSI (Associazione Italiana Professionisti Sicurezza Informatica, www.aipsi.org) ed ho trattato un tema particolare: la legge 231 sulla responsabilità degli enti applicata ai reati informatici. L'argomento è stato scelto un po' in senso "provocatorio": esperti della sicurezza, attenzione, c'è una normativa che contempla i reati connessi all'informatica, ma in pochi sanno come applicarla idoneamente. Pensavo di essere un po' pioniera sull'argomento, e di trovarmi uno sparuto pugno di partecipanti incuriositi e non preparati. Invece ho sottovalutato: platea piena, persone in piedi per 50 minuti di indicazioni pratiche su come applicare il modello 231 ai reati informatici e portare valore aggiunto all'azienda. Ed il messaggio è stato capito. Vale quindi la pena parlarne di più?

Per chi non conoscesse la 231, è il decreto introdotto nel 2001 per calmierare l'impatto della responsabilità penale riconoscibile in capo ai vertici apicali aziendali. Il cosiddetto modello 231, applicato ad alcune categorie di reati, consente di tenere indenne da responsabilità penali e talvolta sanzionatorie i vertici aziendali, dimostrando di aver adottato protocolli e procedure idonee alla prevenzione dei reati da parte dei propri operatori. In sostanza: nelle realtà aziendali non sempre i vertici possono controllare oggettivamente tutti i livelli di operatori, ma se l'organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto di reato, modelli di organizzazione e di gestione (schemi, protocolli operativi e procedure) idonei a prevenire i reati presupposto della specie di quello verificatosi, può godere dei vantaggi riconosciuti dall'applicazione di questa normativa.

Ovviamente si tratta di prevenire reati che porterebbero ad un profitto per l'azienda, ma non voluti o condivisi dalla dirigenza. Entriamo nel merito dei reati informatici: la 231 contempla dal 2008 reati quali accesso abusivo ad un sistema, intercettazione di comunicazioni, danneggiamento di informazioni, dati, programmi e sistemi, violazione del diritto d'autore ecc. Reati che effettivamente potrebbero anche essere commessi fuori da una volontà dell'organo dirigente. Si pensi al più diffuso: violazione del diritto d'autore. In quante aziende girano programmi non originali magari per consentire risparmio alle singole direzioni, senza che talvolta il manager ICT ne sia informato o abbia autorizzato una simile condotta? Vi rispondo da persona che opera nel settore: se non è sempre è spesso. Se però il modello 231 è stato ben redatto, il manager ICT potrà - insieme ai vertici - invocare l'esenzione dalla responsabilità.
Non è che sia proprio una quisquilia. Anzi. È la dimostrazione di come una realtà aziendale intenda applicare principi di liceità nel suo operare, arginando quelle condotte malevole che, sui grandi numeri, possono essere commesse. Fin qui l'aspetto da puro avvocato.

Da qui, le riflessioni da persona che lavora con il mondo ICT, e sa cosa sta succedendo. Poco budget a disposizione nelle aziende, quindi pochi investimenti, pochi strumenti di controllo, poca ottimizzazione dei processi. Ecco perché la 231 può, a mio parere, aiutare i manager - ma anche gli operatori stessi - nel settore informatico. Difatti, adottare un modello 231 con riferimento ai reati informatici, vuol dire mappare le aree di rischio, individuare protocolli per proceduralizzare determinati step organizzativi (classico: operatore che cambia qualifica in azienda, o se ne va: quanto tempo passa prima che l'ufficio personale lo comunichi all'ICT? Se lo comunica...); introdurre un sistema disciplinare rispetto alle tematiche connesse alla sicurezza. Insomma: un bel lavoro di razionalizzazione con relativa formazione ed informazione degli operatori finali.

Consideriamo poi che la 231 non si traduce solo in procedure, ma anche in adozione di strumenti e sistemi informatici: sistemi di monitoraggio download, filtri, soluzioni di controllo (secondo i parametri normativi) delle navigazioni, razionalizzazione nell'impostazione delle politiche di gestione di posta elettronica. Insomma: un mondo "pulito" da tanta confusione che può regnare nel settore spesso a causa di mancata valorizzazione dell'area coinvolta.

Allora perché non fare leva sull'idonea applicazione del modello 231 nella propria azienda per tradurre un impegno normativo alquanto gravoso in un valore aggiunto per l'operatività non solo della direzione ICT ma anche e soprattutto dell'azienda stessa? Questo è stato il messaggio, e con mia grande sorpresa, è stato recepito. Con molta preparazione da parte della platea, e con un dato trasversale a molti: modello 231 adottato dalla propria azienda, ma senza alcuna analisi effettiva sulla parte ICT, spesso con redazione dei protocolli senza alcun coinvolgimento degli operatori informatici.
Conviene rifletterci, no?

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
5 Commenti alla Notizia Reati informatici, il modulo che salva le aziende
Ordina
  • chiaramente la legge 2001 sulla privacy ha appesantito non poco le responsabilita di chiunque abbia a che fare con dati, spesso sensibili; non sorprende che sia ben accolto un modulo di salvataggio che in sostanza prevede la "deresponsabilizzazione dei responsabili" a fronte di documentata applicazione di adeguate procedure di controllo ecc.

    Ora pero questo ha come conseguenza che queste "adeguate" procedure diventino la scusa per un controllo pervasivo e ossessivo, che giustifica scelte verticistiche (es: solo questi programmi microsoft, ecc) dettate dal "prevenire" ecc. Puo cio giovare alla sicurezza e la privacy? Certamente, impedire di usare i computer sicuramente giova.

    Non sono certamente contrario a che professionisti analizzino e organizzino i flussi di dati rendendo perlomeno coscienti gli operatori della responsabilita del trattare dei dati.
    Ma questo non deve significare che i suddetti analisti prendano possesso dell'organizzazione del lavoro, ingessandola e di fatto rendendola meno efficiente con la scusa della (loro) responsabilita e sicurezza.
    E' una storia gia vista in passato ai tempi della prima informatizzazione, e non mi pare abbia portato gran vantaggio ne lustro alla categoria degli informatici.

    Spero di aver reso chiaro il problema: manca una visone di insieme, manca una gerarchia del reato da cui difendersi, la soluzione e' in sostanza a mio parere estremista. Oltretutto, pur migliorando la sicurezza dai problemi "spiccioli", non risolve i veri reati che tali misure eludono facilmente.

    Solite leggi italiane, manca una gerarchia, non a caso, perche chi le fa accontenta le lobby e le corporazioni, o le proprie ambizioni, e ovviamente paga pantalone. Guardate la storia dei wifi in italia..
    non+autenticato
  • - Scritto da: rudy
    > chiaramente la legge 2001 sulla privacy ha
    > appesantito non poco le responsabilita di
    > chiunque abbia a che fare con dati, spesso
    > sensibili; non sorprende che sia ben accolto un
    > modulo di salvataggio che in sostanza prevede la
    > "deresponsabilizzazione dei responsabili" a
    > fronte di documentata applicazione di adeguate
    > procedure di controllo
    > ecc.
    > Ora pero questo ha come conseguenza che queste
    > "adeguate" procedure diventino la scusa per un
    > controllo pervasivo e ossessivo, che giustifica
    > scelte verticistiche (es: solo questi programmi
    > microsoft, ecc) dettate dal "prevenire" ecc.

    Concordo al 100%.

    Ma d'altra parte lo scopo è proprio quello di mettere al riparo i "responsabili", come dice l'autore: Se però il modello 231 è stato ben redatto, il manager ICT potrà - insieme ai vertici - invocare l'esenzione dalla responsabilità.

    Lo scopo primario è appunto deresponsabilizzarsi totale, anche a costo di minore efficienza (è quasi un eufemismo) e minore sicurezza aziendale (esatto, la sicurezza aziendale diminuisce).
  • Forse Gildo Scorda voleva dire che, visto l'aricolo di interesse molto comune a no iIt che lo leggiamo, magari un pò più di semplicità nello spiegare la legge e magari fare qualche esempio più pratico.
    Grazie
    non+autenticato
  • - Scritto da: Andrea
    > Forse Gildo Scorda voleva dire che, visto
    > l'aricolo di interesse molto comune a no iIt che
    > lo leggiamo, magari un pò più di semplicità nello
    > spiegare la legge e magari fare qualche esempio
    > più
    > pratico.
    > Grazie

    Gildo Scorda a quanto pare non piace per ciò che dice e viene cancellato...
    comunque - ripeto - è un articolo di natura promozionale, poco utile e generico. almeno questo si può dire?
    non+autenticato
  • Concordo con Rudy, comunque. legge inutile la 231
    ;)
    non+autenticato