L'emergenza sanitaria ha portato con sé un aumento dell'uso delle tecnologie digitali, un utilizzo sempre più massiccio che ha incentivato anche la diffusione di reati informatici. Per fortuna c'è il D.lgs 231/2001, il quadro normativo che regolamenta la fattispecie di reato legata al Cyber Crime.
A causa delle misure messe in atto dai diversi paesi per far fronte all'emergenza sanitaria e alla diffusione del virus COVID-19, nell'ultimo periodo abbiamo assistito a un significativo aumento del lavoro in modalità smart-working, o "lavoro agile", come dir si voglia (il dibattito sul nome più adatto lo releghiamo a un becero scontro generazionale).
Lo smart-working, però, strumento preziosissimo nelle mani di tutti i lavoratori, non porta con sé soltanto vantaggi. Al contrario, le nuove forme di lavoro a distanza, se da un lato agevolano l'organizzazione del tempo, dall'altro espongono le aziende al fenomeno del Cyber Risk, oltre che alla commissione dei reati informatici con tutte le conseguenze sanzionatorie, così come previsto dal D.lgs. 231/2001 e dalle altre norme di settore.
Che cos'è il Cyber Risk [Cyber Crime]
In seguito all'emergenza sanitaria provocata da COVID-19, si è detto, si è scatenata una massiccia diffusione dello smart-working, una forma di lavoro a distanza che spesso porta le aziende a perdere il controllo dei dati e delle misure tecniche e organizzative adottate. La conseguenza inevitabile è stata la proliferazione di reati informatici. La questione, di per sé già complessa, si complica ancora di più quando le varie mansioni lavorative vengono svolte con i device dei dipendenti, cioè in modalità Bring Your Own Device (BYOD).
La fattispecie di reato legata al Cyber Crime è stata inserita in quella dei reati presupposto.
Leggi di più: Modello 231: che cosa sono i reati presupposto
Il quadro normativo di riferimento è il D.lgs 231/2001, inizialmente incentrato sulla corruzione e poi ampliato dal legislatore con la Legge 48/2008, grazie alla quale la fattispecie di reato legata al Cyber Crime è stata inserita in quella dei reati presupposto. Attualmente le persone giuridiche, società, associazioni, enti territoriali, non economici e che svolgono funzioni di rilevanza costituzionale sono responsabili penalmente in caso di illeciti amministrativi che portano alla commissione di un reato di questa natura.
Come evitare le sanzioni previste per i reati informatici [Cyber Crime]
Per quanto riguarda il sistema sanzionatorio contemplato dal D.lgs. 231/01,
il procedimento penale, in caso di violazioni, prevede l'applicazione di una pena di natura pecuniaria. A seconda dei casi, inoltre, sono previste la pena interdittiva, la confisca e la pubblicazione della sentenza.
La prima, la pena pecuniaria, comporta gravi conseguenze, ovvero l'arresto dell'attività, con l'eventuale sospensione o revoca di autorizzazioni e licenze, esclusione dai finanziamenti e sussidi.
La sanzione interdittiva, invece, prevede anche il divieto di pubblicare i prodotti e/o servizi, con importanti ripercussioni per l'immagine di un'azienda, specie poi se questa si occupa della commercializzazione di antivirus, effettua analisi di vulnerabilità e servizi similari.
Danneggiamento di sistemi informatici o telematici, frode informatica, detenzione abusiva di codici di accesso, intercettazione illecita di comunicazioni informatiche, sono solo alcune delle fattispecie contemplate dalla legge.
La responsabilità è sempre dell’azienda? Non sempre. La responsabilità in capo all'azienda, infatti, non si configura quando viene dimostrato che sono stati adottati modelli organizzativi e di controllo adeguati, oppure se la commissione del reato è avvenuta eludendo in maniera fraudolenta il modello. In questi casi le sanzioni potrebbero non trovare applicazione, specie se la società si adopera anche per risarcire il danno e riparare le conseguenze derivate dall'illecito.
L'importanza della Cyber Insurance
Al fine di evitare i reati informatici è quindi fondamentale dotarsi di modelli organizzativi di gestione e controllo (MOGC) adeguati, anche a mero scopo preventivo. Sarà anche fondamentale, sebbene non si tratta di obblighi normativi, implementare misure tecniche e aderire agli standard internazionali contemplati dalle norme ISO.
L'adesione a determinati modelli e alle norme internazionali non è obbligatoria e tantomeno rende la società esente da qualsiasi responsabilità. Si tratta comunque di sostegni efficaci per tutelare l'organizzazione di qualsiasi dimensione.
I reati informatici si possono prevenire anche attraverso ulteriori misure. A questo riguardo, per avere una maggiore tutela, si rivela indispensabile la sottoscrizione di prodotti assicurativi contro i concreti Cyber Risk c
he possono colpire le imprese sotto varie forme.
Una polizza di Cyber Insurance permette quindi di trasferire il rischio in capo alla società assicuratrice: il mercato oggi offre varie opzioni di copertura che riguardano la diffusione e la perdita dei dati sensibili.
Si può anche richiedere la tutela per i danni che derivano dalla compromissione del sistema informatico, oltre che per l'interruzione del servizio. Attraverso una polizza di Cyber Insurance si può ad esempio ottenere un ristoro per il mancato guadagno in seguito alla perdita di dati. In ogni caso per scegliere le soluzioni più adatte alle specifiche esigenze è sempre meglio chiedere il supporto di un esperto del settore.
Il Modello 231 non è obbligatorio, ma i rischi per chi non lo compila sono altissimi. Per questo è cosa buona e giusta affidarsi ai consulenti esperti. Attraverso la presenza costante e il monitoraggio delle attività, il professionista ha la tranquillità che tutti i punti siano presidiati e che la conformità sia mantenuta nel corso del tempo.