Attualità // Il Governo del Rischio

IFI Advisory: Cybersecurity e responsabilità da reato degli enti

Condividi

IFI Advisory, società di intelligence e risk management, nello strutturato articolo che segue, a cura di Angelo Russo, Compliance Manager e DPO, approfondisce il tema relativo allaCybersecurity e responsabilità da reato degli enti: strumenti organizzativi di prevenzione”.

Buona lettura!

la Redazione

CYBERSECURITY E RESPONSABILITÀ DA REATO DEGLI ENTI: STRUMENTI ORGANIZZATIVI DI PREVENZIONE

Il crimine informatico rappresenta oggi una delle grandi minacce per l’intero sistema economico internazionale, suscettibile di interessare indifferentemente Enti pubblici, Società e privati cittadini. Si stima in sei trilioni di dollari il costo annuo legato alle conseguenze dei reati informatici perpetrati a livello globale.

Perfino grandi multinazionali come Yahoo hanno subito ingenti danni dai cyber attacchi; nel solo biennio  2012-2014, gli hackers hanno ottenuto le credenziali di accesso per 3 miliardi di utenti di Yahoo. Il “data breach” includeva nomi, passwords e risposte alle domande di sicurezza di utenti.

In Italia, la disciplina normativa in tema di sicurezza informatica è composta da un dettagliato impianto regolamentare, rivolto a tutti gli operatori e, in particolare, a quelli attivi nei settori dei servizi strategici, che sono tenuti a considerare con attenzione, sin dall'inizio della propria attività, le possibili sanzioni civili, penali, amministrative e di natura reputazionale, derivanti da una non conformità nella gestione del rischio cyber.

Dunque, nell’ipotesi in cui l’impresa subisca un cyber attacco, alle conseguenze penali a carico del personale imputato per i suddetti reati (per condotte commissive/omissive e a titolo doloso/colposo), si affiancano in primo luogo sanzioni di natura pecuniaria e interdittiva a carico dell’impresa stessa.

In particolare, l’articolo 24-bis del D.lgs. 231/2001 ha esteso la responsabilità amministrativa delle persone giuridiche e degli enti all’ipotesi in cui un rappresentante/dipendente dell’ente ponga in essere un reato “informatico” con riferimento a fattispecie quali l’Art. 615 ter c.p.  (Accesso abusivo ad un sistema informatico o telematico), l’Art. 635 bis c.p. (Danneggiamento di informazioni, dati e programmi informatici) ovvero l’Art. 635 quater c.p. (Danneggiamento di sistemi informatici o telematici).

Le differenti tipologie di reato informatico si riferiscono a una molteplicità di condotte criminose in cui un sistema informatico risulta, in alcuni casi, obiettivo stesso della condotta e, in altri, lo strumento attraverso cui l’autore intende realizzare altre fattispecie penalmente rilevanti, per interesse e/o vantaggio (inteso anche come “risparmio”) dell’impresa.

La tutela della sicurezza informatica trova dei punti di naturale connessione con la normativa europea in materia di tutela dei dati personali di cui al Regolamento UE 679/2016 (“GDPR”); focal point del GDPR risiede nella prevenzione e nell’adozione di misure efficaci di protezione dei dati personali, soprattutto nei sistemi informatici.

A tal fine, il GDPR prevede una disciplina sanzionatoria particolarmente severa, nell’ipotesi di una non-conformità ovvero di un “data breach”, da parte del titolare del trattamento; in tema di responsabilità civile, l’art. 82 del GDPR, prevede che: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento»; inoltre l’art. 83 del GDPR, prevede sanzioni fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo nel caso di non conformità accertate.

È evidente come la compliance tratti i rischi in ambito “cyber” da una duplice (peculiare) prospettiva, in quanto analizza da un lato i rischi esogeni (connessi ad un possibile cyber attacco), dall’altro i rischio endogeni, legati a possibili accessi non autorizzati al sistema informatico da parte di soggetti interni all’impresa.

L’ente dovrà dunque accertare (e poter dimostrare in ogni momento) il proprio status in tema di Cyber Security con riferimento a:

a. Realizzazione di uno screening aziendale dei rischi informatici, al fine di identificare eventuali vulnerabilità e fragilità dei sistemi.a
b. Formazione e sensibilizzazione dei lavoratori
c. Protezione delle attività on-line dei lavoratori (es. tramite meccanismi di protezione da softwares pericolosi).
d. Backup di informazioni e software.
e. Verifica dei logs di sistema che registrano le attività degli utilizzatori.
f. Realizzazione di vulnerability assessment e penetration test, per “fotografare” lo status di tenuta del sistema informatico aziendale, rispetto a eventuali attacchi esterni.

A monte della separazione dei processi è dunque necessario mappare i processi aziendali, al fine di individuare le attività a rischio “reato informatico”, come richiesto dall’art. 6 comma 2 del Dlgs. 231/2001 e ridurre la possibilità che un soggetto possa svolgere più parti essenziali di un processo informatico, realizzando una distinzione organizzativa basata su una suddvisione dei ruoli informatici, tenendo presente che la funzione di IT Auditing debba necessariamente essere collocata all’esterno della funzione IT e dell’Organismo di Vigilanza e alle dirette dipendenze della Direzione Generale/Direzione Auditing.

Ifi Advisory

In passato, l’orientamento dottrinale maggioritario riteneva che il dato informatico non possedesse i caratteri della fisicità propri della “cosa mobile”.

Logica conseguenza di tale tesi era l’assenza di un coinvolgimento definito della funzione security nelle attività di controllo del sistema informatico, in quanto funzione prettamente dedicata alla tutela di assets di natura “materiale”.

Tuttavia tale orientamento è stato ribaltato da una recente sentenza della Corte di Cassazione (Cass. Pen. n. 11959/2020) che ha qualificato il “dato informatico” quale bene suscettibile di appropriazione indebita ex art. 646 c.p.; la vicenda in esame riguardava le condotte poste in essere da un dipendente, che aveva restituito il notebook aziendale dopo aver formattato l’hard disk ed essersi impossessato illecitamente dei dati ivi contenuti.

Secondo la Suprema Corte, una più accorta analisi della nozione scientifica del dati informatico conduce alla conclusione che lo stesso possa esser qualificato quale “cosa mobile”, suscettibile di divenire l’oggetto materiale delle condotte di reato, in quanto il dato può essere oggetto di diritti penalmente tutelati e possiede tutti i requisiti della mobilità della cosa.

Questa nuova considerazione del dato informatico dovrebbe rendere le imprese consapevoli dell’opportunità di coinvolgere maggiormente la funzione security nelle attività di controllo e prevenzione rispetto alla tutela della sicurezza informatica aziendale, alla stregua di quanto previsto per tutti gli assets materiali, oggetto di tutela da parte della funzione security.

L’opportunità della separazione dei processi trova riscontro anche all’interno delle Linee Guida di Confindustria sul D.lgs. 231/2001 (Parte Speciale), secondo cui il sistema di controllo per la prevenzione dei reati di criminalità informatica dovrà basarsi su principi di controllo quali la “separazione dei ruoli che intervengono nelle attività chiave dei processi operativi esposti a rischio, la tracciabilità degli accessi e delle attività svolte sui sistemi informatici che supportano i processi esposti a rischio e le procedure e livelli autorizzativi da associarsi alle attività critiche dei processi operativi esposti a rischio, la raccolta, analisi e gestione di segnalazioni di fattispecie a rischio di reati informatici rilevati da soggetti interni e esterni all’ente, le procedure di escalation per la gestione di fattispecie a rischio di reato caratterizzate da elevata criticità e nella gestione dei rapporti con gli enti istituzionali” come confermato dalla circolare della Guardia di finanza n. 83607/2012 secondo cui “la polizia giudiziaria dovrà verificare che i processi a rischio siano presidiati da una adeguata separazione dei compiti, impedendo che un'unica funzione possieda capacità decisionale autonoma in ordine ai processi a rischio”.

Infine, la separazione dei compiti assume importanza anche ai fini della certificazione ISO 27001, che prevede, al par. A.10.1.3, la necessità di implementare effettivamente “una segregazione dei compiti nello svolgimento delle attività operative, in coerenza con la separazione organizzativa dei compiti. Il personale che opera all'interno del sistema di conservazione non ha privilegi amministrativi nei sistemi, ad eccezione del ristretto personale autorizzato.”

L’impatto potenzialmente devastante di una minaccia informatica impone alle imprese di evitare una concezione delle misure di cyber security come meri ostacoli burocratici alla crescita aziendale, cogliendo piuttosto quei vantaggi, in termini di affidabilità e sicurezza derivanti da una “cyber compliance” idonea a prevenire cyber attacchi e/o garantire la sopravvivenza dell’ente rispetto a possibili sanzioni derivanti da una non conformità, rilevando i costi normalmente sostenuti dalle aziende per il monitoraggio e l’attuazione delle misure di cyber security, alla stregua di un vero e proprio “investimento” sulla resilienza del sistema informatico aziendale.

a cura di Angelo Russo,
Compliance Manager e DPO di IFI Advisory

30.10.2020


Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza,
iscriviti alla nostra newsletter.

\\ Articoli correlati

Digitronica.IT e i nuovi protocolli d’accesso: smart e user friendly

Digitronica.IT ha prontamente fornito risposte alle strutture aziendali di Security e...

Cias Micro-Ray wins a new Award

Cias with Micro-Ray won the first prize in the Alarm & Detection category at 2019 Detektor...

FUJIFILM SX800: ecosistema per nuovi ambiti con importanti partnerships

FUJIFILM con SX800 ha rivoluzionato l’offerta di prodotti per la...

Seguici Su

   

Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza, iscriviti alla nostra newsletter.