Sono stata relatrice nei giorni scorsi a SMAU PADOVA per AIPSI (Associazione Italiana Professionisti Sicurezza Informatica, www.aipsi.org) ed ho trattato un tema particolare: la legge 231 sulla responsabilità degli enti applicata ai reati informatici. L’argomento è stato scelto un po’ in senso “provocatorio”: esperti della sicurezza, attenzione, c’è una normativa che contempla i reati connessi all’informatica, ma in pochi sanno come applicarla idoneamente. Pensavo di essere un po’ pioniera sull’argomento, e di trovarmi uno sparuto pugno di partecipanti incuriositi e non preparati. Invece ho sottovalutato: platea piena, persone in piedi per 50 minuti di indicazioni pratiche su come applicare il modello 231 ai reati informatici e portare valore aggiunto all’azienda. Ed il messaggio è stato capito. Vale quindi la pena parlarne di più?
Per chi non conoscesse la 231, è il decreto introdotto nel 2001 per calmierare l’impatto della responsabilità penale riconoscibile in capo ai vertici apicali aziendali. Il cosiddetto modello 231, applicato ad alcune categorie di reati, consente di tenere indenne da responsabilità penali e talvolta sanzionatorie i vertici aziendali, dimostrando di aver adottato protocolli e procedure idonee alla prevenzione dei reati da parte dei propri operatori. In sostanza: nelle realtà aziendali non sempre i vertici possono controllare oggettivamente tutti i livelli di operatori, ma se l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto di reato, modelli di organizzazione e di gestione (schemi, protocolli operativi e procedure) idonei a prevenire i reati presupposto della specie di quello verificatosi, può godere dei vantaggi riconosciuti dall’applicazione di questa normativa.
Ovviamente si tratta di prevenire reati che porterebbero ad un profitto per l’azienda, ma non voluti o condivisi dalla dirigenza. Entriamo nel merito dei reati informatici: la 231 contempla dal 2008 reati quali accesso abusivo ad un sistema, intercettazione di comunicazioni, danneggiamento di informazioni, dati, programmi e sistemi, violazione del diritto d’autore ecc. Reati che effettivamente potrebbero anche essere commessi fuori da una volontà dell’organo dirigente. Si pensi al più diffuso: violazione del diritto d’autore. In quante aziende girano programmi non originali magari per consentire risparmio alle singole direzioni, senza che talvolta il manager ICT ne sia informato o abbia autorizzato una simile condotta? Vi rispondo da persona che opera nel settore: se non è sempre è spesso. Se però il modello 231 è stato ben redatto, il manager ICT potrà – insieme ai vertici – invocare l’esenzione dalla responsabilità.
Non è che sia proprio una quisquilia. Anzi. È la dimostrazione di come una realtà aziendale intenda applicare principi di liceità nel suo operare, arginando quelle condotte malevole che, sui grandi numeri, possono essere commesse. Fin qui l’aspetto da puro avvocato.
Da qui, le riflessioni da persona che lavora con il mondo ICT, e sa cosa sta succedendo. Poco budget a disposizione nelle aziende, quindi pochi investimenti, pochi strumenti di controllo, poca ottimizzazione dei processi. Ecco perché la 231 può, a mio parere, aiutare i manager – ma anche gli operatori stessi – nel settore informatico. Difatti, adottare un modello 231 con riferimento ai reati informatici, vuol dire mappare le aree di rischio, individuare protocolli per proceduralizzare determinati step organizzativi (classico: operatore che cambia qualifica in azienda, o se ne va: quanto tempo passa prima che l’ufficio personale lo comunichi all’ICT? Se lo comunica…); introdurre un sistema disciplinare rispetto alle tematiche connesse alla sicurezza. Insomma: un bel lavoro di razionalizzazione con relativa formazione ed informazione degli operatori finali.
Consideriamo poi che la 231 non si traduce solo in procedure, ma anche in adozione di strumenti e sistemi informatici : sistemi di monitoraggio download, filtri, soluzioni di controllo (secondo i parametri normativi) delle navigazioni, razionalizzazione nell’impostazione delle politiche di gestione di posta elettronica. Insomma: un mondo “pulito” da tanta confusione che può regnare nel settore spesso a causa di mancata valorizzazione dell’area coinvolta.
Allora perché non fare leva sull’idonea applicazione del modello 231 nella propria azienda per tradurre un impegno normativo alquanto gravoso in un valore aggiunto per l’operatività non solo della direzione ICT ma anche e soprattutto dell’azienda stessa? Questo è stato il messaggio, e con mia grande sorpresa, è stato recepito. Con molta preparazione da parte della platea, e con un dato trasversale a molti: modello 231 adottato dalla propria azienda, ma senza alcuna analisi effettiva sulla parte ICT, spesso con redazione dei protocolli senza alcun coinvolgimento degli operatori informatici.
Conviene rifletterci, no?
Avv. Valentina Frediani
www.consulentelegaleinformatico.it