Intervento Fulvio Sarzana

Reati informatici e responsabilità del
management negli attacchi cibernetici.
La recente giurisprudenza
Avv. Fulvio Sarzana di S. Ippolito –
Studio legale Sarzana e associati
Quali sono le minacce principali contro sicurezza e privacy
secondo
FERMA?
.
Malware
Administrative
errors
Incidents
caused
by
third
parties
suppliers
Malicious
activity
by
employees
Attacks
against
web
(“DoS”)
Theft
or
loss
of
mobile
devices
Internal
hacker
Terrorism
Phishing
attack
Infiltration
using
mobile
devices
(72%)
(48%)
(34%)
(31%)
(30%)
(28%)
(26%)
(25%)
(22%)
(20%)
Le responsabilità degli Amministratori e del management:
Chi Amministra una azienda è responsabile dei danni causati a
terzi o alla società riguardo all’attività decisionale svolta per conto
della stessa - doveri che discendono dalla legge e/o statuto sociale.
Dal punto di vista civilistico l’Amministratore è passibile di
Azione sociale di responsabilità (ex artt. 2932 e 2393 c.c.) è soggetto
all’Azione dei soci di minoranza (art. 2393 bis c.c.) nonché a
Responsabilità verso i creditori (2394 c.c.).
La responsabilità può essergli addebitata per inosservanza degli
obblighi inerenti alla conservazione dell’integrità del patrimonio
sociale con responsabilità verso i soci ed i terzi (2395 c.c.) – Singoli
soci o terzi danneggiati direttamente
Presupposti: atto illecito dell’Amministratore nell’esercizio
dell’ufficio + un danno diretto Sindaci (2407 c.c.) – Dirigenti (2396
c.c.)
Le responsabilità penali del management
1) In caso di illecito subito sarà necessario il
ricorso all'autorità giudiziaria penale.
Occorrerà però valutare preliminarmente diversi
elementi:
• L’esistenza di prove idonee a dimostrare la
responsabilità del ( o dei) autore/i, il danno subito,
la competenza giurisdizionale;
• Danno all'immagine conseguente alla
pubblicizzazione del procedimento;
• Tempi del processo penale;
• Danno effettivamente risarcibile in sede penale
Reati dei dipendenti
Cosa accade se le prove vengono raccolte in
modalità non adeguata? O senza i dovuti accordi
con le rappresentanze sindacali?
Es i furbetti del cartellino
Oppure la registrazione dei log di navigazione dei
dipendenti, senza però un adeguato disciplinare ?
Due sentenze opposte della Cassazione
Cassazione Agosto 2016: In tema di
apparecchiature di controllo dalle quali derivi la
possibilità di verificare a distanza l’attività dei
lavoratori, le garanzie procedurali previste dall’art
4, comma 2, dello Statuto dei lavoratori non
trovano applicazione quando si procede
all’accertamento di fatti che costituiscono reato»
Problema dati di navigazione raccolti senza il
consenso dell’interessato. Server centralizzato
estero.
Cassazione sezione lavoro 22313/2016 del 3 11
2016. Il datore di lavoro ha il diritto di effettuare
controlli mirati sui lavoratori ( direttamente o
attraverso la propria struttura) al fine di verificare
il corretto utilizzo degli strumenti di lavoro ( tra
cui i p.c. aziendali) – nel rispetto. Tuttavia, della
loro libertà e diginità nonché della specifica
disciplina di cui al dlgs 196/2003.
Le responsabilità in caso di reato dell’ente
In caso poi di Responsabilità amministrativa dell'azienda
per reato commesso dai vertici o dai dipendenti opera la
• Legge 18 marzo 2008 n. 48 che ratifica Convenzione
di Budapest sulla criminalità informatica
• Art. 7 (che introduce art. 24 bis del D. Lgs. 231/2001)
estende la responsabilità amministrativa all’azienda per i
reati commessi da vertici e dipendenti
• Art. 240 comma 1 bis c.p. (introdotto dalla Legge n.
12 del 15 febbraio 2012) che prevede la confisca
obbligatoria di tutti i beni e strumenti informatici o
telematici utilizzati per la commissione della quasi
totalità dei reati informatici
Il D.Lgs. n. 231/2001 e la responsabilità dell’azienda
Le aziende hanno, iniziato a porsi seriamente il problema di un loro
coinvolgimento per reati commessi al loro interno a partire dal 2001
allorquando è stato approvato il D.Lgs. n. 231/2001.
Tale D.Lgs. ha introdotto, infatti, per la prima volta la responsabilità degli
enti per gli illeciti amministrativi dipendenti da reato. Rientrano, nel concetto
di “ente”, tutti i soggetti forniti di personalità giuridica, le società e le
associazioni anche prive di personalità giuridica, rimanendone esclusi lo
Stato, gli enti pubblici territoriali, gli altri enti pubblici non economici e gli
enti che svolgono funzioni di rilevanza costituzionale. Viene prevista la
responsabilità amministrativa dell’Ente per i reati-presupposto commessi nel
suo interesse o a suo vantaggio da:
persone che rivestono funzioni di rappresentanza, amministrazione o
direzione dell’ente o di sua unità organizzativa dotata di autonomia
finanziaria e funzionale;
persone che esercitano, anche di fatto, la gestione ed il controllo dell’ente o di
sua unità organizzativa autonoma;
persone sottoposte alla direzione o alla vigilanza di uno dei soggetti
di cui ai punti precedenti.
Viene, tuttavia, esclusa la responsabilità dell’ente nel caso in cui le
persone (che ricoprono incarichi “apicali” ovvero soggette “all’altrui
direzione”) hanno agito nell’interesse esclusivo proprio o di terzi.
Principio generale è quello dell’autonomia della responsabilità
dell’ente.
Dispone, infatti, il legislatore che la responsabilità amministrativa
sussiste in capo all’ente anche nel caso in cui:
l’autore del reato non è stato identificato o non è imputabile;
ovvero il reato si estingue per una causa diversa dall’amnistia.
Conseguenza importante di tale impianto normativo è che in tutte
quelle ipotesi in cui, per la complessità dell’assetto organizzativo
interno, non sia possibile ricondurre la responsabilità penale in capo
ad uno specifico soggetto, e venga comunque accertata la
commissione di un delitto, l’ente ne dovrà rispondere sul piano
amministrativo, sempre che allo stesso sia imputabile una colpa
organizzativa consistente nella mancata adozione ovvero nel carente
funzionamento del modello di organizzazione, gestione e controllo.
A seguito delle modifiche apporta te al D.Lgs. n. 231/2001, L. n. 48/2008 le aziende possono essere
chiamate a rispondere per la maggior parte dei reati informatici commessi dai suoi vertici e dipendenti.
La L. n. 48, infatti, estende la responsabilità amministrativa degli enti ai seguenti reati informatici:
Delitti informatici e trattamento illecito di dati (Art. 24-bis, D.Lgs. n. 231/2001) [articolo aggiunto dalla
L. n. 48/2008; modificato dal D.Lgs. n. 7 e 8/2016]
Falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.)
Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.)
Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater
c.p.)
Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere
un sistema informatico o telematico (art. 615-quinquies c.p.)
Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art.
617-quater c.p.)
Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni
informatiche o telematiche (art. 617-quinquies c.p.)
Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.)
Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente
pubblico o comunque di pubblica utilità (art. 635-ter c.p.)
Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.)
Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.)
Frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.)
Si tratta di una grande novità atteso che fino ad oggi, come visto, sulla base del D.Lgs. n. 231/2001 tale
responsabilità era prevista solo per residuali ipotesi di reato informatico, quali quelli di frode
informatica commessa a danno dello Stato o di altro Ente pubblico, di assistenza a gruppi terroristici
apprestata fornendo strumenti di comunicazione, di distribuzione, cessione e detenzione di materiale
pedopornografico.
Delitti in materia di violazione del diritto d’autore (Art. 25-novies, D.Lgs. n. 231/2001) [articolo aggiunto dalla L. n.
99/2009]
Messa a disposizione del pubblico, in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, di un’opera
dell’ingegno protetta, o di parte di essa (art. 171, legge n.633/1941 comma 1 lett. a) bis)
Reati di cui al punto precedente commessi su opere altrui non destinate alla pubblicazione qualora ne risulti offeso l’onore o
la reputazione (art. 171, legge n.633/1941 comma 3)
Abusiva duplicazione, per trarne profitto, di programmi per elaboratore; importazione,
distribuzione, vendita o detenzione a scopo commerciale o imprenditoriale o concessione
in locazione di programmi contenuti in supporti non contrassegnati dalla SIAE;
predisposizione di mezzi per rimuovere o eludere i dispositivi di protezione di
programmi per elaboratori (art. 171-bis legge n.633/1941 comma 1)
Riproduzione, trasferimento su altro supporto, distribuzione, comunicazione, presentazione o dimostrazione in pubblico, del
contenuto di una banca dati; estrazione o reimpiego della banca dati; distribuzione, vendita o concessione in locazione di
banche di dati (art. 171-bis legge n.633/1941 comma 2)
Abusiva duplicazione, riproduzione, trasmissione o diffusione in pubblico con qualsiasi procedimento, in tutto o in parte, di
opere dell’ingegno destinate al circuito televisivo, cinematografico, della vendita o del noleggio di dischi, nastri o supporti
analoghi o ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive
assimilate o sequenze di immagini in movimento; opere letterarie, drammatiche, scientifiche o didattiche, musicali o
drammatico musicali, multimediali, anche se inserite in opere collettive o composite o banche dati; riproduzione,
duplicazione, trasmissione o diffusione abusiva, vendita o commercio, cessione a qualsiasi titolo o importazione abusiva di
oltre cinquanta copie o esemplari di opere tutelate dal diritto d’autore e da diritti connessi; immissione in un sistema di reti
telematiche, mediante connessioni di qualsiasi genere, di un’opera dell’ingegno protetta dal diritto d’autore, o parte di essa
(art. 171-ter legge n.633/1941)
Mancata comunicazione alla SIAE dei dati di identificazione dei supporti non soggetti al contrassegno o falsa dichiarazione
(art. 171-septies legge n.633/1941)
Fraudolenta produzione, vendita, importazione, promozione, installazione, modifica, utilizzo per uso pubblico e privato di
apparati o parti di apparati atti alla decodificazione di trasmissioni audiovisive ad accesso condizionato effettuate via etere,
via satellite, via cavo, in forma sia analogica sia digitale (art. 171-octies legge n.633/1941).
Un caso interessante il cd Laziogate.
Di chi la responsabilità in caso di accesso
abusivo a sistema informatico?
Il CASO DI OGGI: Dal Corriere della sera di oggi: Intercettazioni dei PM dal server delle procure all’azienda
informatica.
Oltre 20 pagine di dati di intercettazioni di parecchie procure trovati sul pc dell’impiegata di una delle società private
che forniscono alle Procure i server per le intercettazioni: numeri e nomi di intercettati, tutti dati che per legge
devono essere presenti solo sui server delle Procure.
Ora Diverse procure ( il CSM, Il Ministero della Giustizia) sono impegnati a capire se tra le società private esista la
potenzialità tecnica, nel momento in cui svolgono l’assistenza a distanza chiesta dalle Procure sui propri server per la
manutenzione ordinaria o per specifici guasti, di invece scaricare dati e farli risidere fisicamente e poi trattenerli sui
propri computer locali
La dipendente viene indagata per accesso abusivo a sistema informatico