Intervento Fulvio Sarzana
Transcript
Intervento Fulvio Sarzana
Reati informatici e responsabilità del management negli attacchi cibernetici. La recente giurisprudenza Avv. Fulvio Sarzana di S. Ippolito – Studio legale Sarzana e associati Quali sono le minacce principali contro sicurezza e privacy secondo FERMA? . Malware Administrative errors Incidents caused by third parties suppliers Malicious activity by employees Attacks against web (“DoS”) Theft or loss of mobile devices Internal hacker Terrorism Phishing attack Infiltration using mobile devices (72%) (48%) (34%) (31%) (30%) (28%) (26%) (25%) (22%) (20%) Le responsabilità degli Amministratori e del management: Chi Amministra una azienda è responsabile dei danni causati a terzi o alla società riguardo all’attività decisionale svolta per conto della stessa - doveri che discendono dalla legge e/o statuto sociale. Dal punto di vista civilistico l’Amministratore è passibile di Azione sociale di responsabilità (ex artt. 2932 e 2393 c.c.) è soggetto all’Azione dei soci di minoranza (art. 2393 bis c.c.) nonché a Responsabilità verso i creditori (2394 c.c.). La responsabilità può essergli addebitata per inosservanza degli obblighi inerenti alla conservazione dell’integrità del patrimonio sociale con responsabilità verso i soci ed i terzi (2395 c.c.) – Singoli soci o terzi danneggiati direttamente Presupposti: atto illecito dell’Amministratore nell’esercizio dell’ufficio + un danno diretto Sindaci (2407 c.c.) – Dirigenti (2396 c.c.) Le responsabilità penali del management 1) In caso di illecito subito sarà necessario il ricorso all'autorità giudiziaria penale. Occorrerà però valutare preliminarmente diversi elementi: • L’esistenza di prove idonee a dimostrare la responsabilità del ( o dei) autore/i, il danno subito, la competenza giurisdizionale; • Danno all'immagine conseguente alla pubblicizzazione del procedimento; • Tempi del processo penale; • Danno effettivamente risarcibile in sede penale Reati dei dipendenti Cosa accade se le prove vengono raccolte in modalità non adeguata? O senza i dovuti accordi con le rappresentanze sindacali? Es i furbetti del cartellino Oppure la registrazione dei log di navigazione dei dipendenti, senza però un adeguato disciplinare ? Due sentenze opposte della Cassazione Cassazione Agosto 2016: In tema di apparecchiature di controllo dalle quali derivi la possibilità di verificare a distanza l’attività dei lavoratori, le garanzie procedurali previste dall’art 4, comma 2, dello Statuto dei lavoratori non trovano applicazione quando si procede all’accertamento di fatti che costituiscono reato» Problema dati di navigazione raccolti senza il consenso dell’interessato. Server centralizzato estero. Cassazione sezione lavoro 22313/2016 del 3 11 2016. Il datore di lavoro ha il diritto di effettuare controlli mirati sui lavoratori ( direttamente o attraverso la propria struttura) al fine di verificare il corretto utilizzo degli strumenti di lavoro ( tra cui i p.c. aziendali) – nel rispetto. Tuttavia, della loro libertà e diginità nonché della specifica disciplina di cui al dlgs 196/2003. Le responsabilità in caso di reato dell’ente In caso poi di Responsabilità amministrativa dell'azienda per reato commesso dai vertici o dai dipendenti opera la • Legge 18 marzo 2008 n. 48 che ratifica Convenzione di Budapest sulla criminalità informatica • Art. 7 (che introduce art. 24 bis del D. Lgs. 231/2001) estende la responsabilità amministrativa all’azienda per i reati commessi da vertici e dipendenti • Art. 240 comma 1 bis c.p. (introdotto dalla Legge n. 12 del 15 febbraio 2012) che prevede la confisca obbligatoria di tutti i beni e strumenti informatici o telematici utilizzati per la commissione della quasi totalità dei reati informatici Il D.Lgs. n. 231/2001 e la responsabilità dell’azienda Le aziende hanno, iniziato a porsi seriamente il problema di un loro coinvolgimento per reati commessi al loro interno a partire dal 2001 allorquando è stato approvato il D.Lgs. n. 231/2001. Tale D.Lgs. ha introdotto, infatti, per la prima volta la responsabilità degli enti per gli illeciti amministrativi dipendenti da reato. Rientrano, nel concetto di “ente”, tutti i soggetti forniti di personalità giuridica, le società e le associazioni anche prive di personalità giuridica, rimanendone esclusi lo Stato, gli enti pubblici territoriali, gli altri enti pubblici non economici e gli enti che svolgono funzioni di rilevanza costituzionale. Viene prevista la responsabilità amministrativa dell’Ente per i reati-presupposto commessi nel suo interesse o a suo vantaggio da: persone che rivestono funzioni di rappresentanza, amministrazione o direzione dell’ente o di sua unità organizzativa dotata di autonomia finanziaria e funzionale; persone che esercitano, anche di fatto, la gestione ed il controllo dell’ente o di sua unità organizzativa autonoma; persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui ai punti precedenti. Viene, tuttavia, esclusa la responsabilità dell’ente nel caso in cui le persone (che ricoprono incarichi “apicali” ovvero soggette “all’altrui direzione”) hanno agito nell’interesse esclusivo proprio o di terzi. Principio generale è quello dell’autonomia della responsabilità dell’ente. Dispone, infatti, il legislatore che la responsabilità amministrativa sussiste in capo all’ente anche nel caso in cui: l’autore del reato non è stato identificato o non è imputabile; ovvero il reato si estingue per una causa diversa dall’amnistia. Conseguenza importante di tale impianto normativo è che in tutte quelle ipotesi in cui, per la complessità dell’assetto organizzativo interno, non sia possibile ricondurre la responsabilità penale in capo ad uno specifico soggetto, e venga comunque accertata la commissione di un delitto, l’ente ne dovrà rispondere sul piano amministrativo, sempre che allo stesso sia imputabile una colpa organizzativa consistente nella mancata adozione ovvero nel carente funzionamento del modello di organizzazione, gestione e controllo. A seguito delle modifiche apporta te al D.Lgs. n. 231/2001, L. n. 48/2008 le aziende possono essere chiamate a rispondere per la maggior parte dei reati informatici commessi dai suoi vertici e dipendenti. La L. n. 48, infatti, estende la responsabilità amministrativa degli enti ai seguenti reati informatici: Delitti informatici e trattamento illecito di dati (Art. 24-bis, D.Lgs. n. 231/2001) [articolo aggiunto dalla L. n. 48/2008; modificato dal D.Lgs. n. 7 e 8/2016] Falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.) Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.) Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.) Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.) Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.) Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.) Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.) Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.) Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.) Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.) Frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.) Si tratta di una grande novità atteso che fino ad oggi, come visto, sulla base del D.Lgs. n. 231/2001 tale responsabilità era prevista solo per residuali ipotesi di reato informatico, quali quelli di frode informatica commessa a danno dello Stato o di altro Ente pubblico, di assistenza a gruppi terroristici apprestata fornendo strumenti di comunicazione, di distribuzione, cessione e detenzione di materiale pedopornografico. Delitti in materia di violazione del diritto d’autore (Art. 25-novies, D.Lgs. n. 231/2001) [articolo aggiunto dalla L. n. 99/2009] Messa a disposizione del pubblico, in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, di un’opera dell’ingegno protetta, o di parte di essa (art. 171, legge n.633/1941 comma 1 lett. a) bis) Reati di cui al punto precedente commessi su opere altrui non destinate alla pubblicazione qualora ne risulti offeso l’onore o la reputazione (art. 171, legge n.633/1941 comma 3) Abusiva duplicazione, per trarne profitto, di programmi per elaboratore; importazione, distribuzione, vendita o detenzione a scopo commerciale o imprenditoriale o concessione in locazione di programmi contenuti in supporti non contrassegnati dalla SIAE; predisposizione di mezzi per rimuovere o eludere i dispositivi di protezione di programmi per elaboratori (art. 171-bis legge n.633/1941 comma 1) Riproduzione, trasferimento su altro supporto, distribuzione, comunicazione, presentazione o dimostrazione in pubblico, del contenuto di una banca dati; estrazione o reimpiego della banca dati; distribuzione, vendita o concessione in locazione di banche di dati (art. 171-bis legge n.633/1941 comma 2) Abusiva duplicazione, riproduzione, trasmissione o diffusione in pubblico con qualsiasi procedimento, in tutto o in parte, di opere dell’ingegno destinate al circuito televisivo, cinematografico, della vendita o del noleggio di dischi, nastri o supporti analoghi o ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento; opere letterarie, drammatiche, scientifiche o didattiche, musicali o drammatico musicali, multimediali, anche se inserite in opere collettive o composite o banche dati; riproduzione, duplicazione, trasmissione o diffusione abusiva, vendita o commercio, cessione a qualsiasi titolo o importazione abusiva di oltre cinquanta copie o esemplari di opere tutelate dal diritto d’autore e da diritti connessi; immissione in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, di un’opera dell’ingegno protetta dal diritto d’autore, o parte di essa (art. 171-ter legge n.633/1941) Mancata comunicazione alla SIAE dei dati di identificazione dei supporti non soggetti al contrassegno o falsa dichiarazione (art. 171-septies legge n.633/1941) Fraudolenta produzione, vendita, importazione, promozione, installazione, modifica, utilizzo per uso pubblico e privato di apparati o parti di apparati atti alla decodificazione di trasmissioni audiovisive ad accesso condizionato effettuate via etere, via satellite, via cavo, in forma sia analogica sia digitale (art. 171-octies legge n.633/1941). Un caso interessante il cd Laziogate. Di chi la responsabilità in caso di accesso abusivo a sistema informatico? Il CASO DI OGGI: Dal Corriere della sera di oggi: Intercettazioni dei PM dal server delle procure all’azienda informatica. Oltre 20 pagine di dati di intercettazioni di parecchie procure trovati sul pc dell’impiegata di una delle società private che forniscono alle Procure i server per le intercettazioni: numeri e nomi di intercettati, tutti dati che per legge devono essere presenti solo sui server delle Procure. Ora Diverse procure ( il CSM, Il Ministero della Giustizia) sono impegnati a capire se tra le società private esista la potenzialità tecnica, nel momento in cui svolgono l’assistenza a distanza chiesta dalle Procure sui propri server per la manutenzione ordinaria o per specifici guasti, di invece scaricare dati e farli risidere fisicamente e poi trattenerli sui propri computer locali La dipendente viene indagata per accesso abusivo a sistema informatico