Reati informatici, il modulo che salva le aziende

di Avv. V. Frediani - La legge 231 vige dal 2001 e molte aziende vi hanno finora aderito come un obbligo. Poche hanno compreso il valore dei sistemi di monitoraggio delle attività dei propri impiegati. Qualcosa sta cambiando?

Roma – Sono stata relatrice nei giorni scorsi a SMAU PADOVA per AIPSI (Associazione Italiana Professionisti Sicurezza Informatica, www.aipsi.org) ed ho trattato un tema particolare: la legge 231 sulla responsabilità degli enti applicata ai reati informatici. L’argomento è stato scelto un po’ in senso “provocatorio”: esperti della sicurezza, attenzione, c’è una normativa che contempla i reati connessi all’informatica, ma in pochi sanno come applicarla idoneamente. Pensavo di essere un po’ pioniera sull’argomento, e di trovarmi uno sparuto pugno di partecipanti incuriositi e non preparati. Invece ho sottovalutato: platea piena, persone in piedi per 50 minuti di indicazioni pratiche su come applicare il modello 231 ai reati informatici e portare valore aggiunto all’azienda. Ed il messaggio è stato capito. Vale quindi la pena parlarne di più?

Per chi non conoscesse la 231, è il decreto introdotto nel 2001 per calmierare l’impatto della responsabilità penale riconoscibile in capo ai vertici apicali aziendali. Il cosiddetto modello 231, applicato ad alcune categorie di reati, consente di tenere indenne da responsabilità penali e talvolta sanzionatorie i vertici aziendali, dimostrando di aver adottato protocolli e procedure idonee alla prevenzione dei reati da parte dei propri operatori. In sostanza: nelle realtà aziendali non sempre i vertici possono controllare oggettivamente tutti i livelli di operatori, ma se l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto di reato, modelli di organizzazione e di gestione (schemi, protocolli operativi e procedure) idonei a prevenire i reati presupposto della specie di quello verificatosi, può godere dei vantaggi riconosciuti dall’applicazione di questa normativa.

Ovviamente si tratta di prevenire reati che porterebbero ad un profitto per l’azienda, ma non voluti o condivisi dalla dirigenza. Entriamo nel merito dei reati informatici: la 231 contempla dal 2008 reati quali accesso abusivo ad un sistema, intercettazione di comunicazioni, danneggiamento di informazioni, dati, programmi e sistemi, violazione del diritto d’autore ecc. Reati che effettivamente potrebbero anche essere commessi fuori da una volontà dell’organo dirigente. Si pensi al più diffuso: violazione del diritto d’autore. In quante aziende girano programmi non originali magari per consentire risparmio alle singole direzioni, senza che talvolta il manager ICT ne sia informato o abbia autorizzato una simile condotta? Vi rispondo da persona che opera nel settore: se non è sempre è spesso. Se però il modello 231 è stato ben redatto, il manager ICT potrà – insieme ai vertici – invocare l’esenzione dalla responsabilità.

Non è che sia proprio una quisquilia. Anzi. È la dimostrazione di come una realtà aziendale intenda applicare principi di liceità nel suo operare, arginando quelle condotte malevole che, sui grandi numeri, possono essere commesse. Fin qui l’aspetto da puro avvocato.

Da qui, le riflessioni da persona che lavora con il mondo ICT, e sa cosa sta succedendo. Poco budget a disposizione nelle aziende, quindi pochi investimenti, pochi strumenti di controllo, poca ottimizzazione dei processi. Ecco perché la 231 può, a mio parere, aiutare i manager – ma anche gli operatori stessi – nel settore informatico. Difatti, adottare un modello 231 con riferimento ai reati informatici, vuol dire mappare le aree di rischio, individuare protocolli per proceduralizzare determinati step organizzativi (classico: operatore che cambia qualifica in azienda, o se ne va: quanto tempo passa prima che l’ufficio personale lo comunichi all’ICT? Se lo comunica…); introdurre un sistema disciplinare rispetto alle tematiche connesse alla sicurezza. Insomma: un bel lavoro di razionalizzazione con relativa formazione ed informazione degli operatori finali.

Consideriamo poi che la 231 non si traduce solo in procedure, ma anche in adozione di strumenti e sistemi informatici : sistemi di monitoraggio download, filtri, soluzioni di controllo (secondo i parametri normativi) delle navigazioni, razionalizzazione nell’impostazione delle politiche di gestione di posta elettronica. Insomma: un mondo “pulito” da tanta confusione che può regnare nel settore spesso a causa di mancata valorizzazione dell’area coinvolta.

Allora perché non fare leva sull’idonea applicazione del modello 231 nella propria azienda per tradurre un impegno normativo alquanto gravoso in un valore aggiunto per l’operatività non solo della direzione ICT ma anche e soprattutto dell’azienda stessa? Questo è stato il messaggio, e con mia grande sorpresa, è stato recepito. Con molta preparazione da parte della platea, e con un dato trasversale a molti: modello 231 adottato dalla propria azienda, ma senza alcuna analisi effettiva sulla parte ICT, spesso con redazione dei protocolli senza alcun coinvolgimento degli operatori informatici.
Conviene rifletterci, no?

Avv. Valentina Frediani
www.consulentelegaleinformatico.it

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • squalho scrive:
    Articolo un po' fuorviante
    Vorrei segnalare che l'articolo non e` proprio esatto o quantomeno e` un po' fuorviante. Leggendo sembra che gli USA applicheranno una tassa extra per le transazioni online, cosa che non e` vera.Negli USA esiste la sales tax, che sarebbe un po' come l'IVA. Ogni Stato decide indipendentemente se e come applicare la sales tax. L'applicazione della sales tax e` molto complicata. Se ad esempio uno compra qualcosa in Georgia in vacanza, ma vive in Illinois, nella dichiarazione dei redditi a fine anno dovrebbe indicare cosa ha comprato, e pagare la differenza di sales tax, siccome la Georgia ha una tassazione minore dell'Illinois.Normalmente la sales tax e` pagata solo per le transazioni nei negozi "reali" e non virtuali, per motivi un po' particolari.Per le vendite su Internet l'applicazione della sales tax e` molto complicata, visti i 50 regimi diversi di tassazione in USA. Fino ad ora le aziende come Amazon erano autorizzata a dire: noi non abbiamo una presenza fisica nel tuo Stato, quindi tu compri da noi, noi non dobbiamo raccogliere la sales tax per lo Stato in cui sei, poi e` tua responsabilita` a fine anno nella dichiarazione dei redditi riportare i tuoi acquisti online. Come potete immaginare nessuno lo fa, per cui gli Stati (quantomeno quelli che hanno la sales tax) ogni hanno non incassano milioni di dollari di sales tax. In pratica era una evasione fiscale largamente accettata.Ora le aziende come Amazon non possono piu` fare quel discorso, ma devono riscuotere la sales tax in anticipo. Insomma, non c'e` nessuna tassazione "extra" solo l'applicazione forzata di una tassazione che gia` esiste ma e` largamente evasa. Che poi ovviamente le aziende non siano contente di doversi mettere li` a raccogliere la tassa (immaginate se in Italia ogni provincia avesse la sua IVA), e` ben comprensibile.La California aveva semplicemente gia` applicato questa regola alcuni mesi fa: http://www.npr.org/2012/09/14/161083090/california-online-sales-tax-faces-enforcement-hurdleTra parentesi, per gli acquisti internazionali non c'e` applicazione della sales tax (come gia` non c'era prima), quindi per un italiano che acquisti qualcosa in USA non cambia assolutamente niente.http://en.wikipedia.org/wiki/Marketplace_Fairness_ActPS: vivo in USA e ogni anno sorrido quando sulla dichiarazione dei redditi mi viene chiesto di indicare tutti gli acquisti effettuati online e/o fuori dal mio Stato.Ciao!
  • qualcuno scrive:
    E le transazioni internazionali?
    Come funziona per le transazioni internazionali?Non vorrei essere costretto a pagare le tassa a zio sam.
  • MZorzy scrive:
    psn
    mi son sempre chiesto perchè Sony psn non rilascia alcun scontrino/fattura...
  • Leguleio scrive:
    E come diceva il Gabibbo
    Se starnuti paghi la tassa:http://www.youtube.com/watch?v=ComEbi5M7F8
    • tucumcari scrive:
      Re: E come diceva il Gabibbo
      - Scritto da: Leguleio
      Se starnuti paghi la tassa:

      http://www.youtube.com/watch?v=ComEbi5M7F8Ok...E dove sarebbe la novità?
      • Uno di Passaggio scrive:
        Re: E come diceva il Gabibbo
        - Scritto da: tucumcari
        - Scritto da: Leguleio

        Se starnuti paghi la tassa:



        http://www.youtube.com/watch?v=ComEbi5M7F8
        Ok...
        E dove sarebbe la novità?La novità è che non è sucXXXXX prima in Italia ;)
        • Skywalkersenior scrive:
          Re: E come diceva il Gabibbo
          - Scritto da: Uno di Passaggio
          - Scritto da: tucumcari

          - Scritto da: Leguleio


          Se starnuti paghi la tassa:





          http://www.youtube.com/watch?v=ComEbi5M7F8

          Ok...

          E dove sarebbe la novità?

          La novità è che non è sucXXXXX prima in Italia ;)Questo perché i nostri politici sanno a malapena che esiste una strana e oscura entità chiamata "internet". Appena scopriranno che può essere usata per fare soldi, arriveranno tasse anche lì... a partire dagli ultimi ritrovati del settore: i modem 9600
Chiudi i commenti