audit informatico

n. 026 - GIUGNO 2014
AUDIT INFORMATICO
PER PREVENIRE I REATI INFORMATICI (ART. 24 BIS D.LGS. 231/01) E ANNULLARE LA RESPONSABILITÀ AMMINISTRATIVA DELL’IMPRESA NEL RISPETTO DEL CODICE DELLA PRIVACY (D.LGS. 196/03) E DELLO STATUTO DEI LAVORATORI Dott. Ing. P. TRENTINI
- Partner e Responsabile divisione
“Compliance tecnica per Medie e Grandi
Imprese” del Gruppo 2G
- Esperto di Information Audit
- Esperto di Safety ed Environmental Audit
- Esperto di Sistemi di Gestione Qualità,
Sicurezza, Ambiente, Energia e Rischi
aziendali
Dott. Ing. G. GAETANI
- Direttore Generale Gruppo 2G Management
Consulting
- Esperto di Organizzazioni Aziendali
Complesse
- Progettista di “Modelli 231”
- Componente di Organismi di Vigilanza per
“Modelli 231”
- Responsabile settore di lavoro di
“Ingegneria Forense”
In un momento di crisi quale quello che stiamo vivendo ciò significa introdurre modelli organizzativi e gestionali capaci di assorbire l’impatto di norme e leggi e, al tempo stesso, di innovare il modo di fare impresa in un ambiente in continua evoluzione. Tutti i soggetti facenti parte della filiera siano essi produttori, confezionatori, distributori, trasportatori, importatori o venditori, possono essere chiamati a rispon‐
dere di violazioni poste in essere nello svolgimento della propria attività imprenditoriale. Nel caso specifico si tratta del rischio di commissione di alcuni dei delitti informatici e trattamento illecito dei dati introdotti dalla L. 48/2008 e che ha modificato l’art. 24 del D.Lgs. 231/01 aggiungendo l’art. 24 bis che inserisce tra i reati presupposto anche quelli informatici. INTRODUZIONE CHE COSA E’ IL D.LGS. 231/01? L’organizzazione e la gestione di una Impresa (attività economica professionalmente organizzata al fine della produzione o allo scambio di beni o di servizi: art. 2082 c.c.) richiede, oltre all’abilità nell’utilizzo delle classiche
tecniche manageriali, anche una conoscenza di norme, leggi e regolamenti con relativo impatto sul suo sviluppo. Il D.Lgs. 231/01 individua la responsabilità ammini‐
strativa della Società limitatamente ai reati commessi dai propri amministratori, dirigenti o dipendenti nell’interesse e a vantaggio della Società stessa. Pag. 1 di 6
n. 026 - GIUGNO 2014
Il D.Lgs. 231/01 mira, quindi, ad investire tutti gli operatori economici aziendali di una sorta di funzione di “garanzia” che sensibilizzi gli stessi a prevenire qualsiasi crimine all’interno dell’esercizio dell’impresa secondo canoni etici e non “contra legem”. Le ipotesi di reato previste nel D.Lgs. 231 sono molto ampie e vanno da reati contro la Pubblica Ammini‐
strazione (es. corruzione, concussione, truffa, indebita percezione di erogazione, ecc.) ai reati in violazione delle norme antinfortunistiche. Ad oggi si contano 115 reati specifici! In particolare l’art. 6 del D.Lgs. 231/01 prevede che se il reato è commesso da soggetti in posizione apicale (amministratori e dirigenti) è necessario che la Società provi che sia stato adottato il Modello di Organizzazione, Gestione e Controllo (MODELLO 231) idonei a prevenire reati della specie poi verificatasi e che il reato sia stato commesso eludendo fraudolentemente i protocolli preventivi, ed inoltre che non vi siano state omissioni o negligenze nell’operato dell’Organismo di Vigilanza. Se l’azienda adotta il “MODELLO 231” può avere diversi benefici. Il beneficio principale è previsto esplicitamente dal D.Lgs. 231/01 che da la possibilità all’azienda che ha realizzato il “MODELLO 231” di invocare l’esclusione o la limitazione della propria responsabilità derivante da uno dei reati presupposto. Ulteriori benefici sono quelli di natura operativa come ad esempio: maggiore chiarezza organizzativa e bilancia‐
mento tra poteri e responsabilità; migliore cultura dei rischi e dei controlli sulle operazioni di business e di sup‐
porto in Azienda; selezione più rigorosa e conveniente dei fornitori; documentazione e stringente approvazione delle spese, anticipi, etc.; riduzione dei rischi di indispo‐
nibilità dei sistemi e/o dei dati e delle perdite consegue‐
nti; miglioramento dell’affidabilità delle comunicazioni sociali, del controllo dei soci, dei revisori e dei sindaci; ecc. DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI Risulta quindi necessario, anche se non obbligatorio, per la Società dotarsi di un “MODELLO 231” caratterizzato da criteri di efficienza, praticabilità e funzionalità ragionevol‐
mente in grado di limitare le probabilità di commissione di reati ricompresi nell’area di rischio legata all’attività dell’impresa. Le sanzioni a cui la Società potrebbe andare incontro sono particolarmente pesanti e vanno dalla confisca del profit‐
to per riparazione delle conseguenze del reato (seques‐
tro conservativo, in sede cautelare) alle sanzioni pecuni‐
arie calcolate con il sistema delle quote (il cui valore oscilla da 258 a 1.549 euro, sulla base della gravità della responsabilità dell’azienda), che possono variare per tipologia di reato (ad esempio, con riferimento ai reati in materia di salute e sicurezza sui luoghi di lavoro le sanzio‐
ni possono arrivare fino a 1.549.000 euro), per arrivare infine alle sanzioni interdittive per un determinato periodo di tempo (da 3 a 24 mesi) dell’attività e/o revoca di autorizzazione, licenze e concessioni fino al commis‐
sariamento e alla sospensione definitiva (morte della Società!). È prevista inoltre la pubblicazione della sentenza di condanna che può essere disposta in caso di applicazione di una sanzione interdittiva. La Legge 18 marzo 2008 n. 48, che ha ratificato la Convezione del Consiglio d’Europa sulla criminalità infor‐
matica (cd. Convenzione di Budapest), ha determinato un adeguamento della normativa del codice penale e del codice di rito in tema di reati informatici (ha modificato la L. 547/1993), ha integrato le modalità di accesso da parte delle forze dell’ordine ai dati di traffico conservati dagli operatori di comunicazione elettronica (art. 132 D.Lgs 196/03) ed ha introdotto nel D.Lgs. 231/01 l’art. 24‐bis che estende la responsabilità amministrativa dell’impresa anche ai cosiddetti reati di criminalità informatica. Pag. 2 di 6
n. 026 - GIUGNO 2014
I reati presupposto in tema di criminalità informatica, alcuni dei quali già esistenti nel nostro codice penale altri riformulati e altri ancora introdotti ex novo dalla L. 48/2008, sono i seguenti: - Art. 491 bis – Falsità in Documenti informatici; - Art. 615 ter – Accesso abusivo ad un sistema informatico o telematico; - Art. 615 quater – Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici; - Art. 615 quinquies – Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico; - Art. 617 quater – Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche; - Art. 617 quinquies – Installazione di apparecchiature -
-
atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche; Art. 635 bis – Danneggiamento di informazioni, dati e programmi informatici; Art. 635 ter – Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità; Art. 635 quater – Danneggiamento di sistemi informatici o telematici; Art. 635 quinquies – Danneggiamento di sistemi informatici o telematici di pubblica utilità; Art. 640 quinquies – Frode informatica del soggetto che presta servizi di certificazione di firma elettronica; È finalizzato alla lotta alla criminalità informatica pure l’art. 640 ter – Frode informatica – presente nel Decreto sin dalla sua emanazione all’art. 24 in tema di reati contro la Pubblica Amministrazione. Pag. 3 di 6
n. 026 - GIUGNO 2014
Con riferimento alle modalità di compimento i reati possono essere suddivisi in categorie ben distinte e cioè: - Danneggiamento, accesso abusivo, diffusione di virus, materiali e informazioni illegali; questi atti possono essere compiuti verso l’esterno attraverso infrastrutture aziendali da parte di “soggetti apicali” e/o “soggetti sottoposti all’altrui direzione”. - Falsità in “documenti informatici” che possono essere commessi da “soggetti” dell’azienda in caso di utilizzo di “firma digitale”. - Frode informativa del soggetto che presta servizi di certificazione di firma elettronica applicabile solo nel caso di una azienda che svolge il ruolo di certificazione. Nell’ambito del “MODELLO 231” particolare attenzione deve essere prestata alla redazione del “risk assessment” in cui, per ogni reato specifico (di cui quelli prima elencati) vengono individuate sia le attività sensibili che le funzioni e le risorse umane coinvolte nonché i “protocolli” di prevenzione del rischio di commissione del reato stesso. Al termine del processo di “risk assessment” deve essere indicato il tipo di controllo di presidio del rischio oltre che individuata la responsabilità dello stesso controllo e la periodicità con cui viene condotto. Il controllo per la prevenzione dei reati informativi deve essere condotta nel rispetto della Legge sulla Privacy (L. 196/2003), dello Statuto dei Lavoratori (L. 300/1970) nonché delle Linee Guida per l’utilizzo della posta elettronica e di internet predisposta dal Garante per la protezione dei dati personali. Si tratta quindi di far convivere l’esigenza di mettere in atto misure tali da rendere non ravvisabile una “colpa di organizzazione” da parte della Società a seguito di un eventuale reato informatico e contemporaneamente rispettare le leggi sopra citate. In collaborazione con il Responsabile Information Technologies (IT) della Società vengono altresì verificate le misure HW e SW messe in campo per soddisfare i requisiti essenziali di prevenzione dei reati. Prendiamo ad esempio il reato di cui all’art. 615 –ter c.p. “Accesso abusivo ad un sistema informatico o telematico”. La caratteristica di questo reato è tale per cui viene punita la condotta di cui si introduce abusivamente, ossia eludendo una qualsiasi forma di barriere ostative all’accesso, in un sistema informatico o telematico protetto da misure di sicurezza. La protezione manifesta la volontà del titolare del sistema informatico di inibire a terzi l’accesso al sistema stesso e la violazione della protezione rende il comportamento illecito. Le ipotesi di reato riguardano i soggetti che si introducono nel sistema informatico sia della società stessa che in sistemi informatici esterni per compiere operazioni tali da configurarsi ai sensi dell’art. 5 co. 1 ex D.Lgs. 231/01 (“L’ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio”). AUDIT INFORMATICO: ESEMPIO L’audit viene condotto sia con controlli sull’esistenza di idonei protocolli preventivi, sia sulla loro efficacia in funzione delle casistiche delle azioni che possono portare al compimento di un reato informatico di cui all’art. 24 bis ex D.Lgs. 231/01. Pag. 4 di 6
n. 026 - GIUGNO 2014
Nell’ambito delle casistiche consideriamo ad esempio l’accesso abusivo al sistema della società per la diminuzione del credito dei Clienti o una maggiorazione dei costi dei servizi per realizzare un profitto illecito; oppure si può ipotizzare l’accesso abusivo a sistemi informatici esterni allo scopo di acquistare informazioni (conoscere il portafoglio clienti del concorrente, conoscere l’offerta economica del concorrente in una gara d’appalto, ecc) o modificare le informazioni sul proprio conto (sistemi interbancari, enti previdenziali, ecc). Per prevenire questo specifico reato l’audit deve verificare l’efficacia dei protocolli preventivi e le misure HW e SW relativamente ad una serie di aspetti quali: gestione e uso delle password, modalità di effettuazione dei log‐in e log‐
out, modalità di utilizzo dei supporti rimovibili, uso dei sistemi di protezione, inventario dell’HW e del SW in uso agli utenti, procedure per il controllo degli accessi, tracciamento degli accessi alla rete aziendale, procedure per la rimozione dei diritti di accesso al termine del rapporto di lavoro, procedure formali per l’assegnazione di privilegi speciali, tracciamento e monitoraggio degli eventi di sicurezza sulla rete. Si tratta quindi di verificare sia l’idoneità dei protocolli di prevenzione ma anche le capacità di difesa delle reti e dei sistemi informatici aziendali individuando eventuali vulnerabilità presenti che potrebbero incrementare la percentuale di rischio di commissione dei reati presupposto. L’audit sarà quindi condotto con una specifica check list in modo da formalizzare e documentare all’Organismo di Vigilanza l’attuazione del “MODELLO 231” per quanto attiene ai “reati informatici”. La fase ultima è quindi costituita da un report che documenterà sia l’attività svolta che il risultato del rischio di commissione di uno dei reati con le misure connettive suggerite da chi ha condotto l’audit stesso. In situazioni particolarmente complesse l’audit sarà condotto congiuntamente da un sistemista e da un informatico per consentire una maggiore efficacia della rilevazione dello stato di attuazione del “MODELLO 231” con particolare riferimento ai reati informatici. COME COSTRUIRE IL “MODELLO 231” Le fasi di costruzione del “MODELLO 231” sono dettate dagli articoli 6 e 7 del D.Lgs. 231/01 devono fare riferimento a sentenze che in questi anni hanno giudicato i “Modelli” (es. il c.d. “decalogo” del Modello nell’ordinanza del G.i.p. di Milano (dott.ssa Secchi) del 9.11.2004) e devono considerare la prassi aziendale in essere e la struttura documentale presente. Le fasi operative sono le seguenti: 1. Mappatura di TUTTI i processi aziendali con relative attività e azioni costituenti ogni singolo processo (utilizzare la documentazione “ISO 9001” per quanto necessario e quando necessario!). 2. Valutazione dei rischi presenti in ogni attività dove possono essere commessi reati (utilizzare la check list che lega la tipologia di reato alla probabilità che possa essere commesso). 3. Verifica delle procedure e/o istruzioni di lavoro esistenti (relative alla ISO 9001, ISO 14001, OHSAS 18001, “Privacy”, ecc.) e completamento di quelle mancanti per garantire la gestione della Società e contemporaneamente impedire la commissione dei reati presupposto. 4. Formalizzazione di tutto quanto descritto nell’ambito di una parte del Modello di Organizzazione Gestione e Controllo. 5. Redazione di una procedura che descrive come deve essere sviluppato il flusso informativo della Società verso l’Organismo di Vigilanza (OdV) e viceversa. 6. Redazione della procedura relativa ad un Sistema sanzionatorio che integri il codice disciplinare della Società relativamente allo specifico CCNL. 7. Redazione della procedura relativa alla costituzione dell’OdV 8. Redazione del Codice Etico In questo modo viene soddisfatto il criterio di specificità (il “MODELLO 231” deve essere coerente con la realtà organizzativa e gestionale della Società e con le possibili modalità di commissione dei reati), di effettività (il “MODELLO 231” deve essere operante nella quotidianità della Società attraverso le relazioni e le interazioni tra le Pag. 5 di 6
n. 026 - GIUGNO 2014
parti), di aggiornabilità (la struttura documentale deve essere facilmente aggiornabile in funzione dei cambiamenti societari, normativi e legislativi). La rappresentazione grafica della struttura documentale è riportata nella figura sottostante. Il “MODELLO 231” non è quindi un documento “standard” adattabile ad ogni Società ma è un progetto “custom” i cui dati di ingresso sono rappresentati dalla: -
Complessità organizzativa della Società -
Tipologia, rilevanza e numerosità di rischi di com‐
missione dei reati presupposto -
Presenza di manuali, procedure e d’istruzioni op‐
portunamente formalizzati per la gestione dei processi principali e di supporto -
Presenza di un sistema di controllo interno documen‐
tato PROPOSTA OPERATIVA DEL GRUPPO 2G MANAGEMENT CONSULTING Il GRUPPO 2G Management Consulting è una “impresa della conoscenza e di servizi innovativi” che, con i suoi attuali 32 “professional”, opera dal 1988 a supporto di imprese industriali, commerciali e di servizi. Le aree di intervento sono costituite da 4 macrotemi (uno di questi è costituito dai “Sistemi di Gestione dell’Impresa) caratterizzati da settori consulenziali specifici (tra cui il “MODELLO 231” ed il “SISTEMA DI GESTIONE DEL CODICE DELLA PRIVACY) che applicati ad ogni singola impresa costituiscono il progetto di intervento degli esperti del Gruppo 2G Management Consulting. Prima di redigere una proposta progettuale ed economica per condurre un AUDIT INFORMATICO i ns. esperti, senza alcun impegno economico e/o operativo, conducono un check up per rilevare la configurazione HW e SW nonché i “protocolli di prevenzione” per i reati informatici e altra documentazione del “MODELLO 231” necessaria a predis‐
porre una CHECK LIST per condurre l’audit. Al termine del check up verranno illustrate alla Direzione Aziendale le “problematiche tecnico‐giuridiche preliminar‐
mente rilevate” e solo alla fine di questa ulteriore fase sarà presentata ufficialmente la proposta economica. Se volete fissare un appuntamento con i nostri esperti di progettazione del “AUDIT INFORMATICO “ e quindi per un check up gratuito potete contattare il ns. Ufficio Marketing: Sig.ra Cristina Gagliardo Tel. 011 505062 Fax 011 504660 [email protected] Pag. 6 di 6