Si parla spesso di compliance aziendale integrata.
La cosa, a ben guardare, non deve stupire.
Nell’attualità, infatti, nessuno dubita del fatto che la compliance aziendale rappresenti il classico arcipelago composto da varie isole.
Sempre in quest’ottica, nessuno dubita del fatto che tra modelli 231 e cybersecurity esistano intime connessioni.
Cosa s’intenda per modello 231 è presto detto.
Un modello 231 è un documento giuridico che consta di protocolli e procedure pensati per scongiurare il rischio di commissione di reati in ambito aziendale.
A mente del decreto legislativo 8 giugno 2001, numero 231, infatti, in caso di mancata adozione d’un modello 231, l’azienda sarà a sua volta chiamata a rispondere, in sede penale, del reato commesso dalle persone fisiche che operano in suo nome e per suo conto.
A venire qui in emergenza – preme osservare – non sono tutti i reati, ma solo quelli – comunque numerosissimi – ricompresi nel novero del catalogo passato in rassegna dal citato decreto.
Tra questi, a fare data dall’anno 2008, figurano altresì i reati informatici.
È noto – ma è comunque bene ribadire in questa sede – che per reato informatico s’intende qualunque condotta nell’ambito della quale lo strumento informatico o telematico rappresenti un elemento determinante a fini di qualificazione giuridica del fatto-reato.
Se quanto precede è corretto, non v’è allora chi non veda come, nella quotidiana operatività aziendale, foss’anche solo per leggerezza, non sia invero latente il rischio che si verifichi la commissione di reati informatici, ben potendo le persone fisiche che operano in nome e per conto dell’azienda commettere fatti di falsità in documenti informatici (articolo 491 bis codice penale), d’accesso abusivo a sistema informatico o telematico (articolo 615 ter codice penale), di detenzione e diffusione abusiva di codici d’accesso a sistemi informatici o telematici (articolo 615 quater codice penale), di diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (articolo 615 quinquies codice penale), d’installazione d’apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche (articolo 615 sexies codice penale), d’intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (articolo 617 quater codice penale), di danneggiamento d’informazioni, dati e programmi informatici (articolo 635 bis codice penale), di danneggiamento d’informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (articolo 635 ter codice penale), di danneggiamento di sistemi informatici o telematici (articolo 635 quater codice penale), di danneggiamento di sistemi informatici o telematici di pubblica utilità (articolo 635 quinquies codice penale), ovvero di frode informatica del certificatore di firma elettronica (articolo 640 quinquies codice penale).
Ciò premesso, preme osservare quanto segue.
Come implicitamente anticipato, l’azienda non risponderà, in sede penale, del reato commesso dalle persone fisiche che operano in suo nome e per suo conto se, prima della commissione di detto reato, avrà adottato un modello 231.
L’affermazione che precede è vera anche per quanto riguarda i reati informatici.
Sovente, infatti, s’è portati a ritenere che, per non rispondere, in sede penale, d’un reato informatico commesso dalle persone fisiche che operano in nome e per conto dell’azienda, s’appalesi per questa sufficiente l’avere dotato sé stessa di procedure e misure di sicurezza ovvero e addirittura di veri e propri sistemi di gestione.
Il punto è, però, che nulla di quanto sopra è giuridicamente idoneo a scongiurare la responsabilità penale dell’azienda in assenza della preventiva adozione, da parte di quest’ultima, altresì d’un modello 231, unico vero scudo penale per imprenditori e imprese.
In quest’ottica, allorquando si ragiona di reati informatici, mettere in sicurezza l’azienda significa, quanto meno, identificare e definire gli asset e i processi di sicurezza delle informazioni, identificare un responsabile per ciascun asset o processo di sicurezza delle informazioni, nonché documentare i dettagli di detta responsabilità, in uno con la definizione di specifici livelli d’autorizzazione agli accessi.
Solo così, infatti, sarà possibile proteggere il proprio business da rischi informatici che, nelle ipotesi più gravi, potrebbero cagionare seri danni all’azienda, davvero penetranti essendo le sanzioni, interdittive e pecuniarie, che, in caso di commissione di reati, sono previste ex decreto a carico della stessa.
