Approvato dal Consiglio di Amministrazione del 25 maggio 2012

Modello di organizzazione, gestione e controllo
ex D.Lgs. 231/01
Parte Speciale E
Reati in tema di criminalità informatica e in
violazione del diritto d’autore
Robert Bosch S.p.A.
MODELLO DI ORGANIZZAZIONE, GESTIONE E
CONTROLLO
EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231
PARTE SPECIALE E: REATI CRIMINALITÀ INFORMATICA E
IN VIOLAZIONE DEL DIRITTO D’AUTORE
Approvato dal Consiglio di Amministrazione
del 25 maggio 2012
Pag. 1 di 9
Modello di organizzazione, gestione e controllo
ex D.Lgs. 231/01
Parte Speciale E
Reati in tema di criminalità informatica e in
violazione del diritto d’autore
INDICE
PARTE SPECIALE “E”: REATI CRIMINALITÀ INFORMATICA E
VIOLAZIONE DEL DIRITTO D’AUTORE .................................................... 3 E.1 Le fattispecie di reati criminalità informatica ........................................... 4 E.2 Le fattispecie di reati in violazione del diritto d’autore ............................ 6 E.3 Processo di gestione della sicurezza informatica ................................... 7 E.4 Principi generali di condotta e comportamento e di assetto del sistema
di organizzazione, gestione e controllo .............................................................. 8 E.5 Principi specifici e componenti del sistema di organizzazione, gestione
e controllo........................................................................................................... 9 Pag. 2 di 9
Modello di organizzazione, gestione e controllo
ex D.Lgs. 231/01
Parte Speciale E
Reati in tema di criminalità informatica e in
violazione del diritto d’autore
PARTE SPECIALE “E”: REATI CRIMINALITÀ INFORMATICA E
VIOLAZIONE DEL DIRITTO D’AUTORE
La presente Parte Speciale, dedicata alla prevenzione dei reati di
criminalità informatica e di violazione del diritto d’autore (ex artt. 24 bis e
25 novies) e alla disciplina dei comportamenti ed attività che potrebbero
astrattamente configurarli, è strutturata nelle seguenti sezioni:

illustrazione delle fattispecie di reato ascrivibili alla famiglia dei
reati in tema di reati informatici e trattamento illecito dei dati e
violazione del diritto d’autore;

identificazione delle aree sensibili IT a rischio di potenziale
commissione dei suddetti reati e derivanti dall’attività di Risk
Assessment condotta;

delineazione dei principi di comportamento e di controllo (definiti
standard di controllo) applicabili nella realizzazione delle attività
entro le aree sensibili, atti a mitigare il rischio associato alla
commissione di reati informatici e violazione del diritto d’autore.
Per ciascuno standard di controllo viene inoltre fornita:
Pag. 3 di 9

la descrizione sintetica dello standard di controllo;

le attività e sotto-attività sensibili riconducibili allo
standard di controllo;

l’identificazione del sistema di policy e procedure
applicabili allo specifico standard di controllo.
Modello di organizzazione, gestione e controllo
ex D.Lgs. 231/01
Parte Speciale E
Reati in tema di criminalità informatica e in
violazione del diritto d’autore
E.1
Le fattispecie di reati criminalità informatica
Tra i reati di criminalità informatica previsti dal Decreto si indicano di
seguito quelli astrattamente configurabili nell’ambito delle attività svolte da
Robert Bosch S.p.A.:

Falsità in un documento informatico pubblico o avente
efficacia probatoria (art. 491-bis c.p.) – Tale ipotesi di reato si
configura nel caso in cui un rappresentante o un dipendente della
Società falsifichi un documento informatico pubblico o privato,
avente efficacia probatoria. A tal fine, per “documento informatico” si
intende la rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti, con esclusione dunque dei programmi
informatici.

Accesso abusivo ad un sistema informatico o telematico (art.
615-ter c.p.) – Tale ipotesi di reato si configura nel caso in cui un
rappresentante o un dipendente della Società si introduca
abusivamente in un sistema informatico o telematico protetto da
misure di sicurezza, ovvero vi si mantiene contro la volontà
espressa o tacita di chi ha il diritto di escluderlo. A tal fine, per
“sistema informatico” si intende qualsiasi apparecchiatura o rete di
apparecchiature interconnesse o collegate, una o più delle quali,
attraverso l’esecuzione di un programma per elaboratore, compiono
l’elaborazione automatica di dati (si è ritenuto,ad es., che anche un
semplice personal computer possa essere considerato un vero e
proprio sistema, per la ricchezza dei dati contenuti).

Detenzione e diffusione abusiva di codici di accesso a sistemi
informatici o telematici (art. 615-quater c.p.) – Tale ipotesi di
reato si configura nel caso in cui un rappresentante o un dipendente
della Società abusivamente si procuri, riproduca, diffonda,
comunichi o consegni codici o parole chiave o altri mezzi idonei
all’accesso a un sistema informatico o telematico protetto da misure
di sicurezza, o comunque fornisca indicazioni o istruzioni idonee al
predetto scopo, al fine di procurare a sé o ad altri un profitto o di
recare un danno ad altri.

Diffusione di apparecchiature, dispositivi o programmi
informatici diretti a danneggiare o interrompere un sistema
informatico o telematico (art. 615-quinquies c.p.) – Tale ipotesi
di reato si configura nel caso in cui un rappresentante o un
dipendente della Società si procuri, diffonda, comunichi o consegni
un programma informatico avente per scopo o per effetto di
danneggiare illecitamente un sistema informatico o telematico, le
informazioni, i dati o i programmi in esso contenuti o ad esso
Pag. 4 di 9
Modello di organizzazione, gestione e controllo
ex D.Lgs. 231/01
Parte Speciale E
Reati in tema di criminalità informatica e in
violazione del diritto d’autore
pertinenti, ovvero di favorire l’interruzione (totale o parziale) o
l’alterazione del suo funzionamento.

Intercettazione, impedimento o interruzione illecita di
comunicazioni informatiche o telematiche (art. 617-quater c.p.)
– Tale ipotesi di reato si configura nel caso in cui un rappresentante
o un dipendente della Società intercetti fraudolentemente
comunicazioni relative ad un sistema informatico o telematico o
intercorrenti tra più sistemi, ovvero le impedisca o le interrompa. Il
reato si configura altresì qualora si riveli, mediante qualsiasi mezzo
di informazione al pubblico, il contenuto delle predette
comunicazioni.

Installazione di apparecchiature atte ad intercettare, impedire o
interrompere comunicazioni informatiche o telematiche (art.
617-quinquies c.p.) – Tale ipotesi di reato si configura nel caso in
cui un rappresentante o un dipendente della Società installi
apparecchiature atte a intercettare, impedire, o interrompere
comunicazioni relative a un sistema informatico o telematico ovvero
intercorrenti tra più sistemi.

Danneggiamento di informazioni, dati e programmi informatici
(art. 635-bis c.p.) – Tale ipotesi di reato si configura nel caso in cui
un rappresentante o un dipendente della Società distrugga,
deteriori, cancelli, alteri o renda inservibili, anche parzialmente,
informazioni, dati o programmi informatici altrui. Se il fatto è
commesso con abuso della qualità di amministratore del sistema,
costituisce una circostanza aggravante.

Danneggiamento di informazioni, dati e programmi informatici
utilizzati dallo Stato o da altro ente pubblico o comunque di
pubblica utilità (art. 635-ter c.p.) – Tale ipotesi di reato si
configura nel caso in cui un rappresentante o un dipendente della
Società distrugga, deteriori, cancelli o renda inservibili informazioni,
dati o programmi informatici utilizzati dallo Stato o da altro ente
pubblico, o comunque di pubblica utilità. Se il fatto è commesso con
abuso della qualità di amministratore del sistema, costituisce una
circostanza aggravante.

Danneggiamento di sistemi informatici o telematici (art. 635quater c.p.) – Tale ipotesi di reato si configura nel caso in cui un
rappresentante o un dipendente della Società distrugga, danneggi,
deteriori, o renda inservibili, anche parzialmente, sistemi informatici
o telematici altrui. Se il fatto è commesso con abuso della qualità di
amministratore del sistema, costituisce una circostanza aggravante.

Danneggiamento di sistemi informatici o telematici di pubblica
utilità (art. 635-quinquies c.p.) – Tale ipotesi di reato si configura
nel caso in cui un rappresentante o un dipendente della Società
distrugga, danneggi, deteriori, renda inservibili, anche parzialmente,
Pag. 5 di 9
Modello di organizzazione, gestione e controllo
ex D.Lgs. 231/01
Parte Speciale E
Reati in tema di criminalità informatica e in
violazione del diritto d’autore
i sistemi informatici o telematici di pubblica utilità, ovvero ne ostacoli
il corretto funzionamento. Se il fatto è commesso con abuso della
qualità di amministratore del sistema, costituisce una circostanza
aggravante.

E.2
Frode informatica del certificatore di firma elettronica (art.
640quinquies c.p.) – Tale ipotesi di reato si configura nel caso in
cui il soggetto che presta servizi di certificazione di firma elettronica
violi gli obblighi previsti dalla legge per il rilascio di un certificato
qualificato, al fine di procurare a sé o ad altri un ingiusto profitto
ovvero di arrecare ad altri un danno. Trattandosi di un reato proprio,
lo stesso sarà configurabile per la Società qualora la condotta
venga posta in essere in concorso con il soggetto “che presta
servizi di certificazione delle firme elettroniche”.
Le fattispecie di reati in violazione del diritto d’autore
Tra i reati in violazione del Diritto d’Autore previsti dal Decreto si indicano
di seguito quelli astrattamente configurabili nell’ambito delle attività svolte
da Robert Bosch S.p.A.:

Art. 171 bis L. n. 633/1941 – Chiunque abusivamente duplica, per
trarne profitto,programmi per elaboratore o ai medesimi fini importa,
distribuisce, vende, detiene a scopo commerciale o imprenditoriale
o concede in locazione programmi contenuti in supporti non
contrassegnati dalla Società italiana degli autori ed editori (SIAE), è
soggetto alla pena della reclusione da sei mesi a tre anni e della
multa da euro 2.582 a euro 15.493. La stessa pena si applica se il
fatto concerne qualsiasi mezzo inteso unicamente a consentire o
facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi
applicati a protezione di un programma per elaboratori. La pena non
è inferiore nel minimo a due anni di reclusione e la multa a euro
15.493 se il fatto è di rilevante gravità.
Chiunque, al fine di trarne profitto, su supporti non contrassegnati
SIAE riproduce, trasferisce su altro supporto, distribuisce,
comunica, presenta o dimostra in pubblico il contenuto di una banca
di dati in violazione delle disposizioni di cui agli articoli 64-quinquies
e 64-sexies, ovvero esegue l'estrazione o il reimpiego della banca di
dati in violazione delle disposizioni di cui agli articoli 102-bis e 102ter, ovvero distribuisce, vende o concede in locazione una banca di
dati, è soggetto alla pena della reclusione da sei mesi a tre anni e
della multa da euro 2.582 a euro 15.493. La pena non è inferiore nel
minimo a due anni di reclusione e la multa a euro 15.493 se il fatto è
di rilevante gravità.
Pag. 6 di 9
Modello di organizzazione, gestione e controllo
ex D.Lgs. 231/01
Parte Speciale E
Reati in tema di criminalità informatica e in
violazione del diritto d’autore
E.3
Processo di gestione della sicurezza informatica
Con riferimento specifico ai reati di criminalità informatica e di violazione
del Diritto d’Autore è stato identificato il Processo Sensibile di “Gestione
del sistema informatico”, relativo alle attività connesse alla gestione dei
sistemi informativi e alle risorse informatiche aziendali, con particolare
riguardo agli aspetti di sicurezza delle diverse aree/attività sensibili
rilevanti.
Nell’ambito di tale Processo Sensibile, è stata effettuata una individuazione
delle aree/attività sensibili e, ove possibile, una ulteriore scomposizione in
sotto attività, al fine di identificare puntualmente tutte le fasi/attività critiche
delle aree individuate.
( omissis )
Pag. 7 di 9
Modello di organizzazione, gestione e controllo
ex D.Lgs. 231/01
Parte Speciale E
Reati in tema di criminalità informatica e in
violazione del diritto d’autore
E.4
Principi generali di condotta e comportamento e di assetto del
sistema di organizzazione, gestione e controllo
La presente sezione illustra i principi generali di condotta e
comportamento, nonché di assetto del sistema di organizzazione, gestione
e controllo che, unitamente ai principi definiti al Capitolo 4 della Parte
Generale in materia di componenti del sistema di controllo preventivo ed ai
principi specifici sanciti nel paragrafo E.5 dovranno essere seguite dai
Destinatari al fine di prevenire il verificarsi dei Reati descritti nei Paragrafi
E.1 e E.2.
In particolare, tutti i dipendenti e Collaboratori della Società sono tenuti a:

astenersi dal tenere comportamenti tali integrare le fattispecie
previste dai suddetti reati di criminalità informatica e violazione del
diritto d’autore, ovvero da comportamenti che, sebbene risultino tali
da non costituire di per sé fattispecie di reato rientranti tra quelle
sopra considerate, possono potenzialmente diventarlo;

rispettare le regole di condotta generale, i principi di controllo e le
prescrizioni specifiche formulate nel presente Modello;

rispettare le norme, le policy e le procedure aziendali che
disciplinano l’accesso e l’utilizzo dei sistemi e degli applicativi
informatici della Società e che contengano principi cui attenersi al
fine di rispettare i diritti d’autore delle opere dell’ingegno di proprietà
di terzi;

promuovere il rispetto delle suddette norme, regole e principi.
Pag. 8 di 9
Modello di organizzazione, gestione e controllo
ex D.Lgs. 231/01
Parte Speciale E
Reati in tema di criminalità informatica e in
violazione del diritto d’autore
E.5
Principi specifici e componenti del sistema di organizzazione,
gestione e controllo
Con riferimento alle aree/attività sensibili rappresentate nel Paragrafo E.3
vengono illustrati di seguito i principi specifici e le componenti del sistema
di organizzazione, gestione e controllo delineate al fine di disciplinare le
attività realizzate nell’ambito del Processo “Gestione del sistema
informatico”.
( omissis )
Pag. 9 di 9