Decreto 231. Le nuove Linee Guida di Confindustria per la costruzione dei modelli organizzativi

All'esito di un ampio e approfondito lavoro di riesame, Confindustria ha completato i lavori di aggiornamento delle Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del D. Lgs. n. 231/2001.

La nuova versione adegua il precedente testo del 2008 alle novità legislative, giurisprudenziali e della prassi applicativa nel frattempo intervenute, mantenendo la distinzione tra le due Parti, generale e speciale.

In particolare, le principali modifiche e integrazioni della Parte generale riguardano: il nuovo capitolo sui lineamenti della responsabilità da reato e la tabella di sintesi dei reati presupposto; il sistema disciplinare e i meccanismi sanzionatori; l’organismo di vigilanza, con particolare riferimento alla sua composizione; il fenomeno dei gruppi di imprese.

La Parte speciale, dedicata all'approfondimento dei reati presupposto attraverso appositi case study, è stata oggetto di una consistente rivisitazione, volta non soltanto a trattare le nuove fattispecie di reato presupposto, ma anche a introdurre un metodo di analisi schematico e di più facile fruibilità per gli operatori interessati.

Come previsto dallo stesso D. Lgs. n. 231/2001 (art. 6, co. 3), il documento è stato sottoposto al vaglio del Ministero della Giustizia che lo scorso 21 luglio ne ha comunicato l’approvazione definitiva

Fonte: Sito Confindustria

APPENDICE: CASE STUDY

Indice:

1. Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblici

2. Delitti informatici e illecito trattamento di dati

3. Delitti di criminalità organizzata, anche transnazionale

4. Concussione, induzione indebita a dare o promettere utilità e corruzione

5. Falsità in strumenti di pagamento o segni di riconoscimento e delitti contro l’industria e il commercio 113

6. Reati societari

7. Delitti con finalità di terrorismo o di eversione dell’ordinamento democratico

8. Pratiche di mutilazione degli organi genitali femminili

9. Delitti contro la personalità individuale

10. Abusi di mercato

11. Delitti commessi con violazione delle norme sulla tutela della salute e sicurezza sul lavor

12. Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita

13. Delitti in materia di violazione del diritto d’autore

14. Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria

15. Reati ambientali

16. Impiego di cittadini di Paesi terzi il cui soggiorno è irregolare

Art. 24 d.lgs. 231/2001 – Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico

1. CONSIDERAZIONI GENERALI

Il delitto di truffa aggravata in danno dello Stato è realizzabile in tutti gli ambiti aziendali che prevedono rapporti o contatti con la PA. La truffa si caratterizza per l’immutazione del vero in ordine a situazioni la cui esistenza, nei termini falsamente rappresentati, è essenziale per l’atto di disposizione patrimoniale da parte della P.A.

La frode informatica, invece, assume rilievo ai fini della responsabilità dell’ente solo se realizzata in danno della P.A. Il reato di frode informatica presenta, sostanzialmente, la medesima struttura e i medesimi elementi costitutivi del reato di truffa da cui si distingue in quanto l’attività illecita investe non la persona ma un sistema informatico. Nel reato di frode informatica, pertanto, non assume rilevanza - a differenza che nel reato di truffa - il ricorso da parte dell’autore del reato ad artifizi o raggiri, ma l’elemento oggettivo dell’alterazione del sistema informatico (e/o dei dati in esso disponibili).Si tratta di una tipologia di illecito oggi poco frequente ma che, è prevedibile, avrà nel futuro più ampia realizzazione. Al contrario, i reati in materia di erogazioni pubbliche (art. 316 bis, 316 ter e 640 bis c.p.) sono piuttosto ricorrenti, soprattutto in certe aree geografiche.

Le fattispecie da ultimo richiamate mirano a tutelare l’erogazione di finanziamenti pubblici, comunque denominate, sotto due diversi profili temporali: nel momento di erogazione e nel successivo momento dell’utilizzazione dei finanziamenti. Le condotte punite, con riferimento al primo dei due momenti, sono modellate sullo schema della truffa in cui assume rilevanza determinante l’immutazione del vero in ordine ad aspetti essenziali ai fini dell’erogazione. Nella malversazione, invece, assume rilievo la mancata destinazione del finanziamento ricevuto per le finalità di interesse pubblico che ne abbiano giustificato l’erogazione.

1. CONSIDERAZIONI

L’articolo 24-bis del decreto 231 ha esteso la responsabilità amministrativa delle persone giuridiche e degli enti alla quasi totalità dei reati informatici.

Alla luce dei presupposti applicativi del decreto, gli enti saranno considerati responsabili per i delitti informatici commessi nel loro interesse o a loro vantaggio da persone che rivestono funzioni di rappresentanza, amministrazione, direzione dell’ente o di una sua unità organizzativa, ma anche da persone sottoposte alla loro direzione o vigilanza. Le tipologie di reato informatico si riferiscono a una molteplicità di condotte criminose in cui un sistema informatico risulta, in alcuni casi, obiettivo stesso della condotta e, in altri, obiettivo stesso della condotta e, in altri, lo strumento attraverso cui l’autore intende realizzare altra fattispecie penalmente rilevante.

Lo sviluppo della tecnologia informatica ha generato nel corso degli anni modifiche sostanziali nell’organizzazione del business di impresa e ha inciso sensibilmente sulle opportunità a disposizione di ciascun esponente aziendale per realizzare o occultare non soltanto schemi di condotte criminali già esistenti ma anche fattispecie nuove, tipiche del cd. mondo virtuale.

A ciò si aggiunga l’ingresso massivo di dispositivi mobili (es. tablet e smartphone), l’utilizzo di server di cloud computing (per esempio servizi di memorizzazione e archiviazione dei dati distribuiti su reti e server remoti) che:

- moltiplicano le opportunità di realizzazione di un reato informatico;

- introducono criticità in relazione al loro utilizzo aziendale in virtù dei ridotti interventi del legislatore italiano e- soprattutto – della carenza di convenzioni internazionali che si renderebbero ancor più necessarie in virtù della globalità del fenomeno;

- determinano la necessità per le imprese di adeguarsi rapidamente al fine di disciplinare correttamente la gestione di tali fenomeni.

Quanto ai soggetti maggiormente esposti a tale fattispecie di reato, tale fenomeno può potenzialmente coinvolgere qualsiasi ente che utilizzi in maniera rilevante gli strumenti informatici e telematici per lo svolgimento delle proprie attività. É chiaro, tuttavia, che tale categoria di reato risulta di più probabile accadimento in quei settori attivi nell’erogazione di servizi legati all’Information Technology (es. gestione delle infrastrutture di rete, sistemi di e-commerce, etc.) ovvero in cui tali servizi costituiscono un valore aggiunto per il cliente (es. soluzioni di e-commerce, gestione di pagamenti on line, etc.).

Con riguardo alle aree aziendali più esposte al rischio di commissione di tale categoria di reato presupposto, è bene evidenziare che l’accesso alla tecnologia ha fortemente dilatato il perimetro dei potenziali autori di condotte delittuose, sebbene vi siano aree aziendali (es. area amministrazione, finanza e controllo, marketing, area R&S, area ICT, area acquisti e appalti) che risultano maggiormente esposte al rischio di commissione di reati informatici che possano determinare un interesse o un vantaggio economico per l’azienda1.

Le imprese dovranno anche verificare che il loro stato in tema di ICT Security Governance & Management sia tale da aspirare al riconoscimento dell’esimente dalla responsabilità prevista dal decreto 231 in caso di commissione di un delitto informatico al loro interno. In altri termini, si tratterà di verificare l’esistenza di misure di sicurezza preventive e di controllo idonee a evitare la commissione dei reati informatici e provvedere all’adeguamento dei propri modelli di organizzazione, gestione e controllo, laddove necessario.

La prevenzione dei crimini informatici deve essere svolta attraverso adeguate misure organizzative, tecnologiche e normative, assicurando che l’attività dell’Organismo di Vigilanza venga indirizzata anche verso specifiche forme di controllo degli aspetti sintomatici di anomalie del sistema informativo, in linea con quanto previsto dalle Linee Guida su compiti e poteri dell’Organismo di Vigilanza. Dovrebbero quindi essere previsti almeno i seguenti controlli di carattere generale:- previsione nel Codice Etico di specifiche indicazioni volte a impedire la commissione dei reati informatici sia all’interno dell’ente, che tramite apparecchiature non soggette al controllo dello stesso;1 Proprio in considerazione della trasversalità del rischio di commissione dei reati di cui all’articolo 24 bis del decreto 231 rispetto alle aree aziendali, lo schema di cui al successivo

punto 2 enuclea potenziali modalità di commissione dell’illecito piuttosto che le aree a rischio reato.

- previsione di un idoneo sistema di sanzioni disciplinari (o vincoli contrattuali nel caso di terze parti) a carico dei dipendenti (o altri destinatari del modello) che violino in maniera intenzionale i sistemi di controllo o le indicazioni comportamentali forniti;

- predisposizione di adeguati strumenti tecnologici (es. software) atti a prevenire e/o impedire la realizzazione di illeciti informatici da parte dei dipendenti e in particolare di quelli appartenenti alle strutture aziendali ritenute più esposte al rischio;

- predisposizione di programmi di informazione, formazione e sensibilizzazione rivolti al personale al fine di diffondere una chiara consapevolezza sui rischi derivanti da un utilizzo improprio delle risorse informatiche aziendali;

- previsione di idonee clausole nei contratti conclusi con i provider di servizi legati all’Information Technology.

A ciò si aggiunga la necessità – in virtù dei recenti sviluppi tecnologici – di adottare policy e procedure organizzative concernenti:

- l’utilizzo di apparecchi personali sul luogo di lavoro (cd. BYOD policy), qualora ammessi, che prevedano, a titolo esemplificativo: i) la regolamentazione dell’uso dei suddetti apparecchi (quali tablet e smartphone) a fini lavorativi; ii) la selezione e definizione di browser, programmi, social network e applicazioni il cui uso è permesso/tollerato/limitato/vietato all’interno del contesto aziendale; iii) l’adozione di sistemi di logging e di monitoring nei limiti consentiti; iv) la previsione di un sistema interno di gestione degli apparecchi, comprendente la programmazione degli stessi e l’assistenza tecnica; v) l’adozione di azioni di cancellazione di dati e bloccaggio in remoti dei dispositivi;

- l’utilizzo di sistemi di cd. cloud computing che prevedano, a titolo esemplificativo: i) la scelta dei cd. cloud server ammessi dall’azienda sulla base di criteri stabiliti da policy interne (es. affidabilità del gestore, accessibilità del servizio, ecc.); ii) la regolamentazione e/o restrizione dell’uso di servizi di clouding per il salvataggio e la trasmissione di determinate tipologie di documenti aziendali; iii) la definizione e diffusione di linee guida per l’utilizzo dei servizi di clouding da parte di tutti gli esponenti dell’azienda.

Il sistema di controllo per la prevenzione dei reati di criminalità informatica dovrà altresì basarsi, ove applicabili, sui seguenti principi di controllo:

- separazione dei ruoli che intervengono nelle attività chiave dei processi operativi esposti a rischio;

- tracciabilità degli accessi e delle attività svolte sui sistemi informatici che supportano i processi esposti a rischio;

- procedure e livelli autorizzativi da associarsi alle attività critiche dei processi operativi esposti a rischio;

- raccolta, analisi e gestione di segnalazioni di fattispecie a rischio di reati informatici rilevati da soggetti interni e esterni all’ente;

- procedure di escalation per la gestione di fattispecie a rischio di reato caratterizzate da elevata criticità e nella gestione dei rapporti con gli enti istituzionali.

L’ambito di applicazione dell’articolo 24-bis è tale da richiedere competenze tecniche ed esperienze specifiche ai fini dello svolgimento delle attività necessarie per la compliance al decreto 231: definizione delle possibili modalità di realizzazione dei reati, valutazione dei relativi rischi connessi alle carenze del sistema informatico, valutazione dell’efficacia dei presidi esistenti e definizione delle azioni correttive/integrative.

In ossequio a quanto già previsto nella parte generale delle presenti Linee Guida, con riferimento a questa categoria di reati - più che ad altre - si ritiene particolarmente consigliabile al fine di un efficace controllo preventivo un supporto dell’Organismo di Vigilanza da parte di soggetti in possesso di conoscenze tecniche specifiche (funzioni aziendali interne IT o consulenti esterni).

Si sottolinea che il rispetto di framework e standard internazionalmente riconosciuti in tema di ICT Security Governance, Management & Compliance, rappresenta un elemento qualificante ai fini della predisposizione di possibili presidi e dell’implementazione di un adeguato sistema di controllo. Riferimenti utili possono essere, tra gli altri:

- COBIT (Control Objectives for Information and related Technology);

- ISO 27001:2005 (norma internazionale che fornisce i requisiti per un sistema di gestione della sicurezza)2.

Allo stesso modo è utile richiamare il rispetto di leggi e regolamenti applicabili alla materia della protezione e della sicurezza di dati personali e sistemi informatici (Codice in materia di protezione dei dati personali – decreto n. 196 del 2003 - provvedimenti del Garante Privacy, regolamenti e procedure sugli abusi di mercato, artt. 4 e 8 della legge n. 300 del 1970, ecc.).

ALLEGATI PDF

Linee Guida 231 Confindustria - P. generale.pdf 1.414 Kb

Linee Guida 231 Confindustria - P. speciale.pdf 1.431 Kb