DATA PROTECTION

DPO e OdV insieme per prevenire reati informatici e data breach: esempi pratici

Il D.lgs. n. 231/2001 introduce il tema dei “Delitti informatici e trattamento illecito di dati”: una categorizzazione di “reati presupposto” che vede il possibile coinvolgimento simultaneo di OdV e DPO con l’obiettivo di realizzare una “compliance integrata”. Ecco alcuni esempi pratici per fornire una chiave di comprensione della complessità di alcuni dei reati informatici “231” e tracciare un percorso di cooperazione nella sorveglianza e vigilanza tra DPO e OdV

Pubblicato il 29 Gen 2024

Giuseppe Alverone

Consulente e formatore Privacy. DPO certificato UNI 11697:2017

Monica Perego

Consulente, Formatore Privacy & DPO

I reati informatici “231” sono trattati dall’art 24-bis del n. D.lgs. 231/2001. Come già evidenziato in un precedente articolo, proprio l’insieme di tali reati connota un’area operativa in cui il DPO e l’OdV possono realizzare la c.d. “compliance integrata”, attraverso un’attività di sorveglianza/vigilanza sinergica.

Tale attività, basandosi su una visione olistica della sicurezza aziendale, consente di eseguire una valutazione complessiva dei rischi e di affrontare con grande efficacia le minacce digitali e le potenziali violazioni delle normative di settore.

Pertanto, ai fini della realizzazione di quanto sopra, appare opportuno eseguire un’analitica puntuale descrizione dei reati informatici “231” più rilevanti.

Come armonizzare i controlli eseguiti dal DPO e dall’OdV per la compliance integrata in azienda

Il contesto dell’analisi

Ovviamente, non tutti i reati informatici “231” sono configurabili in ogni organizzazione. Occorre eseguire un’analisi preliminare che deve essere rivalutata nel tempo, ad esempio in occasione di:

nuove opportunità di business;
terzializzazione di alcune attività nel perimetro dell’ICT e/o cybersecurity o la loro internalizzazione;
introduzione di nuovi partner;
modifiche sui sistemi e sulle infrastrutture anche a seguito di innovazioni tecnologiche;
modifiche o introduzione di nuove procedure interne;
nuovi vincoli posti dalla casa madre (laddove presente).

Analogamente, un’analisi di contesto va eseguita anche nel caso in cui il perimetro dei reati informatici venisse ampliato o in occasione di nuove sentenze che forniscono ulteriori interpretazioni del perimetro dei reati.

Non va peraltro dimenticato che l’art. 26 del D.lgs. 231/2001 prevede una responsabilità dell’ente anche quando le azioni volte a compiere il reato siano solo tentate, mentre lo stesso ente non risponde quando impedisce il compimento dell’azione ovvero la realizzazione dell’evento^{^[1]}.

In tale quadro, esaminiamo analiticamente alcune fattispecie di reato, tra quelle previste dell’art. 24 bis del D.lgs. 231/2001, aventi maggiore interesse operativo congiunto tra DPO e OdV^{^[2]}.

Si tratta, in sintesi, di scenari critici che richiedono una risposta mirata e coordinata.

Accesso abusivo a un sistema informatico o telematico

Un soggetto si introduce abusivamente in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha diritto di escluderlo.

Da considerare che il reato si compie anche se il soggetto, pur essendo legittimato, si sia trattenuto nei sistemi oltre la espressa volontà del Titolare ovvero per compiere atti che hanno finalità differenti da quelle per le quali è stato autorizzato in via generale ovvero in occasione del compito specifico di cui è incaricato.

Esempio pratico

Ad X, da poco assunto come Responsabile commerciale di Y (broker assicurativo) ed ex dipendente di Z, sono stati revocati i privilegi di accesso ai sistemi di Z, ai quali Egli, pertanto, non può più accedere.

Con l’aiuto di un esperto informatico lo stesso X, riesce, però, a carpire credenziali per eseguire un accesso abusivo ai sistemi di Z, grazie al quale riesce a carpire informazioni commerciali riservate relative ad aziende e a persone fisiche.

Il caso rientra nel perimetro del D.lgs. 231/2001 in quanto vi è un evidente vantaggio per Y.

Impatti sulla protezione dei dati

Può essere minata la riservatezza e/o disponibilità e/o integrità.

Il Legislatore, infatti, punisce l’accesso al sistema che può comportare anche la sola perdita di riservatezza delle informazioni, senza determinare necessariamente la perdita di disponibilità e/o integrità.

Danneggiamento di sistemi informatici o telematici

Un soggetto rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento ponendo in essere una condotta finalizzata a distruggere, deteriorare, cancellare, alterare o sopprimere le informazioni, i dati o i programmi informatici che vi sono memorizzati, o anche attraverso l’introduzione o la trasmissione di dati, informazioni o programmi.

Va precisato che, secondo un costante orientamento della Cassazione^{^[3]}, ai fini dell’integrazione del reato di danneggiamento di sistemi informatici ex art. 635 quater c.p., per sistema informatico, deve intendersi qualsiasi apparecchiatura o gruppo di apparecchi interconnessi o collegati, uno o più dei quali, secondo un programma, svolga un trattamento automatico dei dati.

Sicché, in tale categoria rientra un sistema di videosorveglianza che, composto di alcune videocamere che registrano le immagini e le trasformano in dati, si avvalga anche di un hard disk che riceve e memorizza immagini, rendendole estraibili e riproducibili per fotogrammi.

Esempio pratico

In una RSA, dopo la cena, un ospite con ridotte capacità cognitive, in abbigliamento da camera, decide di uscire dalla struttura, il cui portone, erroneamente, non è stato erroneamente chiuso, per fare una passeggiata. Mentre sta uscendo, dinanzi all’ingresso, verosimilmente anche a causa della mancanza di strisce antiscivolo (anti–slip stripes), inciampa, cade e, battendo la testa a terra, muore.

La scena è ripresa da una videocamera del sistema di videosorveglianza della struttura, posizionata proprio all’ingresso già attivo a quell’ora.

Dopo alcune ore, un infermiere, nel corso dei controlli notturni e verificando che l’ospite non era nella sua camera, si accorge di quanto accaduto. Questi, fino a poco prima, invece di attendere ai suoi doveri, aveva giocato a carte con il Direttore della struttura ed un OSS e non aveva controllato la chiusura dell’ingresso.

Quindi, i tre, presi dal panico, prima di attivare la polizia giudiziaria, decidono di:

manomettere con un cacciavite il supporto del sistema di videosorveglianza, sul quale erano state memorizzate le immagini relative all’incidente occorso all’ospite, determinandone la cancellazione e subito dopo;
applicare delle strisce antiscivolo sui gradini delle scale di ingresso.

Il caso rientra nel perimetro del D.lgs. 231/2001 in quanto il reato è commesso anche nell’interesse e a vantaggio della RSA essendo volto ad evitare sia le sanzioni per le violazioni “safety” che il probabile danno reputazionale.

Impatti sulla protezione dei dati

Può essere minata la disponibilità e/o integrità dei dati personali. Il Legislatore infatti punisce il danneggiamento del sistema che può comportare la perdita di disponibilità e/o integrità.

Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici

Questo reato si manifesta quando un soggetto, allo scopo di danneggiare illecitamente un sistema informatico o telematico, ovvero le informazioni, i dati o i programmi in esso contenuti, o ad esso pertinenti, o, ancora, tramite azioni volte a favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procuri, detenga, produca, riproduca, importi, diffonda, comunichi, consegni, installi o, comunque, metta a disposizione di altri, apparecchiature, dispositivi o programmi informatici.

Esempio pratico

Tale delitto potrebbe, ad esempio, configurarsi qualora il Responsabile ICT di una azienda distrugga i dati contenuti su supporti di memoria dove è conservata la contabilità “in nero” dell’organizzazione allo scopo di evitare che la stessa venga scoperta in fase di ispezione delle GdF.

Tra i dati della contabilità in nero, peraltro vi erano anche quelli dei liberi professionisti. Il vantaggio per l’organizzazione è evidente motivo per il quale il caso rientra nel perimetro del D.lgs. 231/2001.

Impatti sulla protezione dei dati

Analogamente al caso precedente, può essere minata la disponibilità e/o integrità dei dati personali.

Tra l‘altro, affinché il reato si configuri non è necessario che i dati vengano distrutti. È sufficiente la mera “resa a disposizione (di altri) delle apparecchiature”.

Inoltre, il danneggiamento può essere anche temporaneo e non necessariamente permanente.

Conseguentemente, la resa a disposizione di altri soggetti di apparecchiature potrebbe comportare, come conseguenza, anche una perdita di riservatezza.

Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche

Tale ipotesi di reato si configura nel caso in cui un soggetto, in modo fraudolento, intercetti comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi; impedisca o interrompa tali comunicazioni, riveli anche in modo parziale il contenuto delle comunicazioni al pubblico mediante qualsiasi mezzo di informazione.

Esempio pratico

Il reato potrebbe essere configurato nel caso in cui un CFO di una società ingaggi un hacker che accedendo al sistema telematico di comunicazione di un’azienda concorrente, acquisisca e riveli al pubblico – ad esempio rendendole disponibili nel dark-web – informazioni riservate della stessa concorrente.

Tra le informazioni intercettate e divulgate vi sono i piani di sviluppo strategico nonché i dati identificativi dei professionisti che l’azienda concorrente intende assumere nel breve-medio periodo.

Questa attività criminale determina una perdita di competitività dell’azienda concorrente.

Anche in questo caso il vantaggio conseguito è evidente e lo fa rientrare nel perimetro del D.lgs. 231/2001.

Impatti sulla protezione dei dati

Rispetto ai casi precedenti che minano la disponibilità e/o l’integrità dei dati personali, il reato presuppone che possa essere compromessa anche la riservatezza.

Danneggiamento di informazioni, dati e programmi informatici

Il reato si realizza quando un soggetto distrugga, deteriori, cancelli, alteri o sopprima informazioni, dati o programmi informatici di altri soggetti.

Esempio pratico

Il CSO di una società, attraverso il supporto di un hacker, penetra nei sistemi informatici di un’azienda concorrente al fine di cancellare tutta la documentazione della partecipazione ad un bando di gara della PA pronta per essere caricata sulla piattaforma di eProcurement MEPA.

Tra i documenti della gara anche i CV di tutti i collaboratori come da richiesta del bando.

Impatti sulla protezione dei dati

In questo caso viene minata la disponibilità e l’integrità dei dati.

Prevenire reati informatici e data breach: principi e misure tecniche e organizzative

Gli scenari precedentemente descritti sono funzionali ad individuare i principi da inserire nel Codice Etico dell’impresa nonché le misure tecniche ed organizzative che l’organizzazione dovrebbe adottare per realizzare un robusto quadro di prevenzione dei reati informatici “231” ed eventualmente dei data breach.

DPO e OdV, in esecuzione dei loro compiti, devono poi verificare se tali principi e misure sono:

diffusamente conosciute in ambito aziendale;
rispettate;
adeguate;
efficaci.

I principi

#	*Principi che dovrebbero essere riportati nel Codice Etico (parte del MOGC) sul cui rispetto vigila l’OdV*
1	La Società condanna qualsiasi comportamento volto ad ottenere qualsiasi vantaggio attraverso l’utilizzo di dichiarazioni e/o documenti alterati o falsificati, ovvero mediante l’omissione di informazioni dovute o, più genericamente, per il tramite di artifici o raggiri, compresi quelli realizzati per mezzo di un sistema informatico o telematico, volti ad indurre in errore l’ente erogatore.
2	La Società condanna qualsiasi comportamento consistente nell’alterazione del funzionamento di un sistema informatico o telematico ovvero nell’accesso senza diritto a dati, informazioni o programmi ivi contenuti, finalizzato a procurare alla Società un ingiusto profitto a danno dello Stato.
3	La Società condanna anche ogni possibile comportamento che possa anche solo indirettamente agevolare la realizzazione dei c.d. crimini informatici; a tal fine la Società si impegna ad attivare tutte le modalità di controllo preventivo e successivo necessarie allo scopo

Le misure tecniche ed organizzative

Le seguenti tabelle hanno la finalità di evidenziare come delle possibili misure di carattere tecnico (la prima tabella) e organizzativo (la seconda tabella) possono essere implementate per ridurre, in modo efficace, le possibilità di commissione dei reati informatici “231”.

L’elenco non è da intendersi esaustivi e va adattato al contesto aziendale.

Misura / Reato	art. 615 ter c.p.	art. 635 quater c.p	art. 615 quinquies	art. 617 quater c.p.	art. 635 bis c.p.
Atto di designazione ad autorizzato	◼	◼	◼	◼	◼
Individuazione dei privilegi di accesso ai sistemi e cessazione degli stessi per cambio mansione/lunghe assenze/dimissione	◼	◼	◼	◼	◼
Verifica ad intervalli della corretta assegnazione degli accessi	◼	◼	◼	◼	◼
Formazione degli autorizzati sulla consapevolezza, sulle procedure di competenza e sul Codice etico; impegno formale ad uniformare i propri comportamenti a quanto previsto dal Codice Etico e dai documenti in esso richamati	◼	◼	◼	◼	◼
Registrazione degli accessi ai locali e alle aree aziendali					◼
Sistema di classificazione ed etichettatura dei dati personali					◼
Dismissione sicura o riutilizzo delle apparecchiature e dei supporti che contengono dati;	◼	◼	◼	◼	◼

Misura / Reato	art. 615 ter c.p.	art. 635 quater c.p	art. 615 quinquies	art. 617 quater c.p.	art. 635 bis c.p.
Protocolli per la gestione della sicurezza logica (il rilascio, la gestione di credenziali e la cancellazione secondo l’insieme di protocolli AAA – Authentication, Authorization, Accounting, antivirus etc.)	◼	◼	◼	◼	◼
Monitoraggio degli accessi ai sistemi e sistema di rilevazione di eventuali anomalie, soluzioni di AI potrebbero essere messe in campo per affinare i monitoraggi in particolare nel caso di accessi da parte di soggetti autorizzati	◼	◼	◼	◼	◼
Utilizzo di password robuste e/o doppia autenticazione	◼	◼	◼	◼	◼
Utilizzo files sharing software	◼			◼
Protocolli per lo sviluppo sicuro degli applicativi anche in ottica di limitazione degli accessi ai dati					◼

Conclusioni

Si è cercato di evidenziare che la compliance integrata, realizzata attraverso la collaborazione di DPO ed OdV, certamente utile a prevenire i reati informatici “231” e i data breach, non è solo un adempimento normativo, ma contribuisce a creare una cultura aziendale concretamente orientata alla sicurezza.

Questa cultura deve permeare l’intera organizzazione, promuovendo la consapevolezza dei rischi digitali e l’adozione di comportamenti proattivi in materia di sicurezza.

Si tratta di un approccio che mira a superare la visione settoriale della sicurezza dei dati e della adeguata gestione aziendale, proponendo una prospettiva olistica.

NOTE

Art. 26 “1. Le sanzioni pecuniarie e interdittive sono ridotte da un terzo alla metà in relazione alla commissione, nelle forme del tentativo, dei delitti indicati nel presente capo del decreto. 2. L’ente non risponde quando volontariamente impedisce il compimento dell’azione o la realizzazione dell’evento”. ↑
Non sono stati considerati ad esempio reati quale la “Violazione delle norme in materia di Perimetro di sicurezza nazionale cibernetica (art. 1, comma 11, D.L. 21 settembre 2019, n. 105)” di interesse specifico solo per alcune organizzazioni: Peraltro laddove il contesto si prestasse, le misure da porre in atto assumono una rilevanza particolare. ↑
Fra tante, Cassazione penale sez. V, 08/01/2020, n.4470 e Cassazione penale sez. II, 14/12/2011, n.9870. ↑