Il Decreto Legislativo 231 del 2001 nel nostro ordinamento ha introdotto la disciplina della responsabilità amministrativa a carico di società (in qualsiasi forma costituite) ed Enti dotati di personalità giuridica. La norma stabilisce che possono essere sanzionati per i reati commessi, nell’interesse o a vantaggio dell’azienda stessa, da persone fisiche appartenenti alla sua struttura organizzativa (Amministratori, Dirigenti e dipendenti).
L’accertamento della responsabilità può far incorrere gli Enti in diverse tipologie di sanzioni, tra cui:
- sanzioni pecuniarie fino ad un massimo di 1.549.000 euro;
- sanzioni interdittive (interdizione dall’esercizio dell’attività, la sospensione o la revoca di autorizzazioni, licenze o concessioni, il divieto di contrarre con la P.A., l’esclusione da finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi, il divieto di pubblicizzare beni e servizi);
- la confisca;
- la pubblicazione della sentenza.
La responsabilità è esclusa qualora l’Ente dimostri di aver adottato e attuato efficacemente, prima della commissione del fatto, Modelli di Organizzazione, Gestione e Controllo idonei a prevenire la commissione dei reati della specie di quello verificatosi e di aver istituito un organismo preposto a vigilare sul funzionamento e sull’osservanza dei modelli.
Il Decreto Legislativo 231 del 2001 nel nostro ordinamento ha introdotto la disciplina della responsabilità amministrativa a carico di società (in qualsiasi forma costituite) ed Enti dotati di personalità giuridica. La norma stabilisce che possono essere sanzionati per i reati commessi, nell’interesse o a vantaggio dell’azienda stessa, da persone fisiche appartenenti alla sua struttura organizzativa (Amministratori, Dirigenti e dipendenti).
Tra le ipotesi di reato per le quali si configura la responsabilità amministrativa dell’ente sono stati annoverati alcune fattispecie di reati informatici (c.d. digital crimes) strettamente legate ai profili della protezione dei dati in ambito aziendale, tra i quali:
- Accesso abusivo ad un sistema informatico o telematico (art. 615 terp.)
- Detenzione e diffusione abusiva di codici di accesso a sistemi informatici (art. 615 quaterp.)
- Interruzione illecita di comunicazioni informatiche o telematiche (art. 617 quaterp.)
- Danneggiamento di informazioni, dati e programmi informatici (art. 635 bisp.)
- Danneggiamento di sistemi informatici o telematici (art. 635 quaterp.)
- Frode informatica del certificatore di firma elettronica (art. 640 quinquiesp.)
L’impiego delle nuove tecnologie infatti, all’interno dei contesti aziendali oltre ad aver comportato un innegabile miglioramento del funzionamento di diversi settori, ha determinato un innalzamento del rischio di commissione di reati informatici in grado di provocare all’organizzazione gravi conseguenze economiche, strutturali e di web reputation.
Per questo motivo è necessario che società ed enti adottino e attuino misure di sicurezza e procedure interne idonee a prevenire e minimizzare il rischio di incorrere in ipotesi di responsabilità ex 231/2001.
Crient CyberSecurity offre un servizio di consulenza finalizzato all’elaborazione di modelli di gestione e controllo dei rischi digitali, tesi a rafforzare l’attività di prevenzione, attraverso:
- l’introduzione di specifiche misure di sicurezza volte a ridurre la possibilità che vengano commessi reati all’interno della rete aziendale;
- controlli mirati ed analisi della gestione dei settori aziendali in cui si ricorre a device tecnologici e alla rete;
- attività di formazione e responsabilizzazione dei dipendenti al fine di diffondere una cultura informatica nell’ambito aziendale;
- definizione di una policy di sicurezza del sistema informatico che individui i livelli di accesso degli utenti interni in base alla confidenzialità delle informazioni aziendali e alla responsabilità del soggetto e ne regoli l’utilizzo;
- regolamentazione dell’acceso da parte di utenti esterni;
- attività di audit interno finalizzato al rispetto delle misure e dei modelli di prevenzione aziendali.