Cybercrimes e responsabilità 231. Punti di contatto con il GDPR.
di Eduardo Guarente
Da recenti studi è emerso che, nell’ultimo decennio, le #imprese italiane non hanno prestato la dovuta attenzione alla gestione dei rischi #cyber. A dire il vero, visti i recenti attacchi alle infrastrutture periferiche dello Stato (primo fra tutti, l’attacco subito dalla Regione Lazio ad agosto dello scorso anno), neppure le pubbliche amministrazioni.
Sicuramente, negli anni, è stata sottovalutata l’importanza della gestione dei rischi informatici che, nell’ambito di ogni organizzazione, non riguarda unicamente il perimetro dell’area #IT (come molti, erroneamente, tendono a pensare), ma è trasversale a tutti i processi aziendali nell’ambito del quali sono utilizzate delle strutture informatiche.
Il processo della #digitalizzazione dell’impresa e dei processi di #business impone la necessità di garantire specifici doveri di protezione degli #assets[1] e del #know-how aziendali. In questo scenario, la valutazione, la creazione, la gestione e la conduzione di un sistema di gestione della sicurezza delle informazioni, anche con riferimento alla prevenzione o mitigazione dei rischi da reato degli Enti ai sensi del #D.lgs.231/01, è un processo obbligatorio per riuscire a tutelare il patrimonio informativo, nonché a gestire – nel rispetto del principio di #accountability di cui al #Reg.UE 2016/679 – i processi di protezione dei dati personali in ottica di #privacy e #dataprotection, a maggior ragione se l’Ente rientra tra i soggetti inclusi nel cd. Perimetro della Sicurezza Cibernetica Nazionale (D.L. n. 105/2019 convertito dalla L. n. 133/2019) o da fonti normative europee.
Ad eccezione delle imprese di grandi dimensioni o delle multinazionali, nelle #PMI vi è stata una prolungata e silente disattenzione nella gestione dei rischi cyber, che – a parere di chi scrive – ha avuto ripercussioni anche rispetto alla valutazione dei rischi informatici connessi ai reati presupposto #231.
Il processo di prevenzione, inteso anche sotto un profilo strettamente operativo, che le aziende non possono più sottovalutare (anche in ottica di eventuali responsabilità dell’Alta Direzione), non potrà prescindere da una attenta e puntuale valutazione e gestione globale dei processi di “sicurezza” delle informazioni, generalmente intese.
Sarà necessario considerare la #sicurezza delle #informazioni in tutto il ciclo di vita delle stesse, non limitandosi a considerarle soltanto come un elemento tecnologico, bensì come elemento di connessione ed interconnessione con i processi, le procedure aziendali, le policy ed il Modello organizzativo.
Nell’ambito dei reati presupposto di cui all’art. 24-bis del D.lgs. 231/01 (“Delitti informatici e trattamento illecito di dati”), si identificano le seguenti categorie: (i) i reati che puniscono l’accesso abusivo ad un sistema e l’intercettazione o l’interruzione di dati mediante l’installazione fraudolenta di specifici software/hardware (artt. 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies c.p.); (ii) i reati che puniscono la mera condotta di detenzione e diffusione di codici informatici o hardware in grado di consentire i reati sub (i) (artt. 615-quater e 615-quinquies c.p.); (iii) i reati relativi alla protezione dell’integrità dei documenti informatici e degli strumenti di autenticazione attraverso la firma digitale (art. 640-quinquies c.p.); (iv) i reati applicabili ai soggetti giuridici che ricadono nel cd. Perimetro della Sicurezza Cibernetica Nazionale (qualunque soggetto pubblico o privato che fornisca un “servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”) (art. 1, comma 11, D.L. 21/09/2019, n. 105).
Conseguentemente, l’analisi dei rischi preliminare all’implementazione o all’aggiornamento del #Modello231, ovvero del Modello organizzativo integrato (231/GDPR), non può prescindere da una attenta e puntuale valutazione del sistema di gestione delle informazioni e della loro sicurezza all’interno dei processi aziendali, se – com’è ovvio – l’obiettivo è ambire all’idoneità esimente del Modello stesso, anche con riferimento ai reati di cui all’art. 24-bis del D.lgs. 231/01.
Sul punto, è opportuna una breve precisazione rispetto ai diversi ambiti di tutela dei reati di cui all’art. 24-bisdel D.lgs. 231/01 (“Delitti informatici e trattamento illecito di dati”) e di tutela della protezione dei #datipersonali di cui al Regolamento UE 2016/679 (“GDPR”), nonché alla normativa nazionale di cui al D.lgs. 196/03 (#CodicePrivacy) e al D.lgs. 101/2018 di armonizzazione alla normativa europea.
Difatti, l’oggetto della tutela del #GDPR è la protezione dei dati personali[2] con un raggio d’azione più ampio rispetto alla (sola) tutela della #privacy degli #interessati. Per tale ragione il GDPR disciplina (anche) gli aspetti che riguardano la sicurezza informatica, elemento strettamente interconnesso alla protezione dei dati personali, prevedendo – a carico dei #titolari e #responsabili del trattamento – l’implementazione di adeguate misure tecniche ed organizzative. Diversamente, l’oggetto della tutela tipica dell’art. 24-bis del D.lgs. 231/01, è il trattamento illecito di #dati (generalmente intesi), che mediante l’installazione fraudolenta di specifici software/hardware, può comportare la sottrazione, la manomissione, la distruzione degli stessi, nonché delle informazioni ad essi associate.
#Dato e #informazione sono spesso utilizzati come #sinonimi, ma in realtà i due termini, dal punto di vista #informatico, hanno un significato differente. Infatti, l’informazione è il risultato di una elaborazione di dati. Il #dato è un elemento conosciuto, un’informazione grezza o elementare ed è solitamente costituito da simboli che devono essere elaborati e contestualizzati. Diversamente, l’informazione è un elemento, che deriva dall’elaborazione di più dati, che consente di venire a conoscenza di qualcosa.
Pertanto, nonostante i punti di contatto (principalmente di natura tecnologico-informatica) tra il sistema 231 ed il sistema GDPR, le finalità delle due normative di riferimento sono completamente differenti, al pari dei diversi approcci gestionali.
Le divergenze tra i due sistemi si rinvengono, ad esempio: (i) nei diversi approcci metodologici dell’analisi dei rischi; (ii) nella diversa efficacia esimente della conformità 231/GDPR; (iii) ai diversi presupposti e finalità nell’adozione dei modelli organizzativi 231/GDPR e la loro funzione; (iv) al diverso sistema dei controlli interni; nonché (v) al diverso ruolo, responsabilità ed incompatibilità dei distinti organi di controllo come l’Organismo di vigilanza (#OdV) ed il Responsabile della protezione dei dati (#DPO).
In conclusione, è possibile attenderci per il prossimo futuro che i due sistemi di #compliance 231/GDPR, al netto dei punti di contatto e delle divergenze, possano – anche con il coinvolgimento dell’OdV e del DPO – ambire ad una maggiore integrazione attraverso l’implementazione di un unico Modello organizzativo che possa, al tempo stesso, garantire una adeguata ed efficiente gestione di tutti i processi aziendali, nonché integrare l’ambita efficacia esimente 231 prevista dalla legge.
[1] Per tale ragione è importante che le aziende eseguano annualmente un #assetinventory per conoscere il patrimonio tecnologico, l’infrastruttura di rete, le connessioni esterne, la gestione dei #software, il censimento dell’hardware, sia in ottica di gestione della sicurezza delle informazioni, che della verifica di adeguatezza dei sistemi di controllo.
[2] Secondo la definizione dell’art. 4 GDPR per «dato personale» si intende: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.