Confindustria: nuove linee guida su responsabilità amministrativa e reati informatici

Cresce il ruolo delle tecnologie digitali e l’Associazione degli industriali rivede le indicazioni: tutte le organizzazioni sono tenute ad adottare idonee misure di sicurezza e di controllo, sia dal punto di vista organizzativo che tecnologico, per prevenire illeciti informatici.

Lo scorso marzo Confindustria ha aggiornato le Linee Guida edite nel 2002, cui gli enti, in particolare le società, possono utilizzare come riferimento per pianificare l’adeguamento al d.lgs. 231/2001 in materia di responsabilità amministrativa dipendente da reato.

Le principali novità presenti nell’edizione 2014 hanno interessato la “Parte Speciale” in cui vengono esaminati i reati-presupposto previsti dal d.lgs. 231/01, estendendo la trattazione alle fattispecie non contemplate nella precedente versione. Un capitolo specifico è dedicato ai reati informatici (art. 24-bis d.lgs 231/01) introdotti con la l. 48/2008.

Il continuo incremento nell’utilizzo di tecnologie informatiche, del resto, ha avuto inevitabili ripercussioni sull’organizzazione aziendale, aumentando la possibilità teorica che siano poste in essere, anche nell’interesse o a vantaggio dell’ente,condotte criminali tipiche del mondo virtuale. Spetta alle imprese, non solo a quelle che operano nei settori più esposti, come l’erogazione di servizi legati all’Information Technology, ma anche a tutte le altre che usano in modo rilevante strumenti informatici e telematici, prevenire adeguatamente tali fenomeni. Le Linee Guida suggeriscono agli enti l’adozione di idonee misure di sicurezza e di controllo, di adeguate misure organizzative e tecnologiche per prevenire la commissione di illeciti informatici.

Le Linee Guida enumerano una serie di controlli generali, idonei a tutelare gli enti dalla commissione di reati informatici, tra cui la previsione di specifiche indicazioni nel Codice Etico e nel Modello Organizzativo, la predisposizione di un sistema adeguato di sanzioni disciplinari per la violazione di sistemi di controllo o regole comportamentali, la definizione di programmi atti a informare, formare e sensibilizzare il personale. Il documento precisa inoltre che un valido sistema di controlli deve prevedere il rispetto della normativa sulla privacy e che possono costituire valide soluzioni organizzative l’adozione di framework e standard riconosciuti a livello internazionale, in tema di ICT Security Governance, Management & Compliance, quali il Control Objectives for Information and related Technology (COBIT)  e i sistemi di gestione per la sicurezza delle informazioni (ISO 27001:2005).

Prevenzione e controllo sono dunque un must per gli enti, anche attraverso la formalizzazione di policy e procedure specifiche per gli strumenti informatici e per i sistemi di c.d. cloud computing, la separazione delle funzioni che gestiscono i processi a rischio e la tracciabilità degli accessi ai sistemi informatici che li supportano. Confindustria giudica valide forme di controllo la raccolta, l’analisi, la gestione delle segnalazioni di fattispecie a rischio di reati informatici, rilevati da soggetti interni o esterni all’ente, l’adozione di procedure di escalation per la gestione delle medesime fattispecie caratterizzate da elevata criticità nonché la corretta gestione dei rapporti con gli enti istituzionali.

Si specifica infine che, la validità delle Linee Guida per la prevenzione dei reati, in generale, e di quelli informatici, in particolare, è stata confermata dall’approvazione del Ministero della Giustizia, avvenuta lo scorso 21 luglio.

FONTE: ICT4Executive (www.ict4execuitve.it)

AUTORI: Gabriele Faggioli e Elisa Gallarati