SICUREZZA INFORMATICA

Misure di sicurezza IT per la prevenzione della responsabilità penale d’impresa: linee guida

La dematerializzazione del dato ha di fatto obbligato le aziende a rivedere le misure di sicurezza IT anche per prevenire la responsabilità penale d’impresa. La loro adozione, però, deve camminare di pari passo con lo sviluppo di una cultura aziendale della sicurezza informatica. Ecco alcune utili linee guida

21 Lug 2020
B
Jennifer Basso Ricci

Avvocato, Associate Partner presso P4I - Partners4Innovation

M
Margherita Masseroni

Consultant P4I

In un mondo sempre più digitale e interconnesso, la prima regola di ogni impresa è quella di difendersi da ogni possibile attacco informatico in grado di recare danno alla propria operatività, al proprio patrimonio, alla propria clientela e, perché no, alla propria reputazione: ecco perché è importante adottare le giuste misure di sicurezza IT (anche) per la prevenzione della responsabilità penale d’impresa, ai sensi del D.lgs.231/2001 sui reati informatici.

Il vero problema è riuscire a stare al passo con i tempi e con l’evoluzione tecnologica. Si pensi, ad esempio, alle sempre più sofisticate campagne di phishing, agli artificiosi casi di spear phishing, di whaling o di man in the middle, al costante impiego di ransomware che criptano i file per la richiesta di un riscatto, ma anche ai diffusi eventi di data breach, e l’elenco potrebbe continuare.

Misure di sicurezza IT e responsabilità penale d’impresa: lo scenario

Per molti anni, l’impiego delle misure di sicurezza IT nelle imprese ha risposto all’esigenza di difendere il patrimonio aziendale dagli assidui attacchi per opera di criminali informatici. Questo è diventato tanto più vero quanto più abbiamo assistito ad un duplice fenomeno: da una parte la cosiddetta dematerializzazione del dato, che porta a digitalizzare ogni informazione, rendendone facile la trasferibilità e dall’altro l’incremento dell’utilizzo della comunicazione digitale, che non sempre consente di sapere «chi è presente nella rete» e chi sta realmente assistendo alla comunicazione.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Nell’ultima decade, però, abbiamo assistito ad un’ulteriore evoluzione in ambito di cyber security. Le imprese, infatti, sembrano essere sempre più coinvolte nella definizione di misure di protezione da possibili attacchi che non provengono più (o almeno non solo) dall’esterno, ma piuttosto dall’interno della propria organizzazione.

Questa maggiore responsabilizzazione è dipesa certamente dall’ingresso massivo nelle imprese di device (per esempio, tablet e smartphone), ma anche dall’utilizzo di server di cloud computing (per esempio, servizi di memorizzazione e archiviazione dei dati distribuiti su reti e server remoti) che hanno moltiplicato le opportunità di realizzazione di un reato informatico, introducendo criticità in relazione al loro utilizzo aziendale.

Lo sviluppo della tecnologia informatica e il suo ingresso nelle aziende hanno generato modifiche sostanziali nell’organizzazione del business di impresa, dilatando notevolmente il perimetro dei potenziali autori di reati informatici e coinvolgendo non più solo e unicamente la Funzione di Information & Communication Technology, ma praticamente quasi tutte le aree aziendali, che si sono via via digitalizzate. Per citarne alcune, Amministrazione e Contabilità, Marketing, Commerciale, Acquisti, Risorse Umane, ma anche Produzione o Distribuzione, le quali intervengono sui dati con capacità sempre maggiori di introspezione, analisi, ma anche di modifica, aumentando in modo esponenziale la superficie d’attacco ed i rischi di sicurezza informatica.

Misure di sicurezza IT e responsabilità penale d’impresa: considerazioni

Proprio in risposta al dilagante fenomeno della criminalità informatica è intervenuta la L. 48/2008, di ratifica della Convenzione di Budapest che ha comportato l’estensione della responsabilità penale d’impresa ai sensi del D.lgs.231/2001 ai reati informatici. Dal 2008, quindi, ogni organizzazione che voglia prevenire la commissione di tali illeciti, realizzati nel proprio interesse o vantaggio, è tenuta ad implementare un proprio sistema di controllo, specifico per tutte le attività che comportano l’utilizzo dei sistemi informativi.

Tre sono le considerazioni di rilievo che possiamo fare a partire da questo aspetto.

In primo luogo, adottare misure di sicurezza tecniche in grado di prevenire la commissione dei reati informatici non è più solo una scelta, ma un vero e proprio onere. Si pensi, ad esempio, alla possibilità di vietare l’apertura di connessioni non autorizzate dall’interno verso l’Internet o impedire la divulgazione di un malware in grado di distruggere il sito di un concorrente, o di un trojan capace di consentire l’accesso abusivo al sistema informatico di un competitor al fine di sottrarre dati e informazioni utili per sviluppare il proprio business, o per conoscere le strategie di marketing altrui.

La seconda considerazione è che gran parte delle misure di sicurezza necessarie per la conformità 231 sono anche e soprattutto misure a tutela del business: un sistema di controllo efficace per tenere fuori i cattivi, è in grado, con minor sforzo, di prevenire anche la commissione di reati dall’interno.

La terza è che, in ogni caso, affinché un modello 231 sia correttamente dispiegato, le misure di information security tradizionali devono essere integrate con ulteriori interventi: circa le misure di sicurezza di cui dovrebbe dotarsi l’ente per delineare un sistema di controllo interno che sia idoneo ed efficace a prevenire la commissione dei reati da cui potrebbe derivare la responsabilità 231, vengono in supporto delle imprese le Linee Guida redatte da Confindustria, dedicate alla costruzione dei Modelli Organizzativi ai sensi del D. Lgs. n. 231/2001.

Misure di sicurezza IT e responsabilità penale d’impresa: linee guida

Con riferimento proprio ai delitti informatici, richiamando esplicitamente il COBIT (Control Objectives for Information and related Technology); lo standard ISO 27001 (la norma internazionale che fornisce i requisiti per un sistema di gestione della sicurezza), Confindustria suggerisce, ad esempio, di:

  • definire un processo autorizzativo per la designazione dei profili di accesso ai sistemi aziendali, che preveda altresì l’accesso unicamente alle aree e ai sistemi necessari per lo svolgimento delle mansioni aziendali dell’utente;
  • adottare delle procedure atte a garantire sia la tracciabilità degli accessi ai sistemi informativi che il monitoraggio dei medesimi al fine di individuare eventuali anomalie e intercettare utilizzi illeciti dei sistemi medesimi;
  • cancellare i diritti di accesso ai sistemi informativi contestualmente alla cessazione del rapporto di lavoro o di collaborazione dell’utente;
  • prevedere il regolare e, ove possibile automatico, aggiornamento di tutti i sistemi informativi utilizzati;
  • predisporre procedure per rilevare e indirizzare tempestivamente le vulnerabilità tecniche dei sistemi;
  • adottare misure di protezione dei documenti elettronici e dell’integrità delle informazioni messe a disposizione su un sistema accessibile al pubblico, al fine di prevenire modifiche non autorizzate;
  • prevedere misure di sicurezza per apparecchiature fuori sede, che prendano in considerazione i rischi derivanti dall’operare al di fuori del perimetro dell’organizzazione;
  • effettuare delle verifiche periodiche sulla rete aziendale, sul rispetto delle politiche di sicurezza e sui software installati;
  • vietare l’impiego dei beni aziendali al fine di violare la tutela dei diritti d’autore, duplicando abusivamente un software.

Ciò che serve tenere a mente, nella configurazione della propria rete aziendale e nella gestione degli asset IT, è che le misure di sicurezza possono essere tanto più varie quanto più diversificate sono le finalità a cui esse devono rispondere e queste possono dipendere dalle differenti normative a cui la stessa impresa deve rispondere.

Tutto sta nel riuscire a definire il perimetro della propria sicurezza, in modo organico, completo e – possibilmente – integrato tra le normative (D.lgs. 231/2001, GDPR, Direttiva NIS ecc.), e i framework e standard riconosciuti a livello internazionale in tema di ICT Security Governance, Management & Compliance (Linee Guida ENISA, Gruppo delle ISO/IEC 27000 ecc.).

Conclusioni

A chiusura di quanto finora detto, vale però sempre la pena ricordare che tutte le misure di sicurezza informatiche che si possono adottare, per quanto opportunamente configurate, non possono tuttavia garantire la difesa dell’impresa se essa stessa non sviluppa una cultura della sicurezza informatica, come suggerito dalla stessa Confindustria.

Questa cultura della sicurezza aziendale non può più essere limitata all’Ufficio Information Technology ma deve partire dal Management per giungere fino ad ogni utente finale, il quale deve comprendere che impiegare un device aziendale comporta anche una responsabilità di utilizzo.

In quanto utenti, a qualsiasi livello organizzativo dell’impresa, dobbiamo essere tutti consapevoli del rischio intrinseco di utilizzo di uno strumento informatico e per questo è nostro dovere informarci circa l’affidabilità e la sicurezza delle attività informatiche quotidiane e segnalare qualsiasi tipo di anomalia riscontrata.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2