Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
La redazione del documento è stata coordinata da Deloitte Legal, con il contributo di Deloitte
Risk Advisory
Comitato Centro Studi AODV231: Avv. Luca Antonetto, Dott.ssa Diana D’Alterio, Dott. Ahmed
Laroussi B., Avv. Maria Rosa Molino, Prof.ssa Patrizia Tettamanzi, Prof. Gianluca Varraso.
La versione definitiva del documento è stata approvata dal Consiglio Direttivo di AODV 231 in
data 4 maggio 2023.
Introduzione ............................................................................................................................................ 5
1.2. I reati informatici 231: dall’art. 24 all’art 24-bis e interferenze con i computer facilitated crime.
Ipotesi di riforma ....................................................................................................................................... 13
1.3. I reati informatici 231: breve analisi delle singole fattispecie oggi in vigore .............................. 15
Capitolo 2 – Cenni giurisprudenziali sulla responsabilità 231 derivante da reati informatici ................ 22
2.1. I reati informatici in azienda: casi pratici affrontati dalla Corte di Cassazione ........................... 24
2.2. Conclusioni: i casi pratici come una possibile “guida” nella costruzione dei Modelli
Organizzativi .............................................................................................................................................. 31
Capitolo 4 - L’incremento dei rischi in tema cybersecurity nel contesto pandemico ............................. 46
4.4. Il ruolo della cybersecurity nell’attività di prevenzione dei Modelli 231 .................................... 48
4.5. Gli strumenti a disposizione delle aziende per adattare il Modello 231 alle esigenze del
panorama della cybersecurity ................................................................................................................... 49
6.2. Le verifiche dell’OdV tra individuazione delle attività sensibili e supporto delle funzioni
aziendali preposte ..................................................................................................................................... 60
1
Si tratta, come noto, di reati puniti a titolo di dolo. L’evoluzione dell’applicazione normativa e giurisprudenziale
riguardante il cybercrime e i reati informatici sarà in ogni caso oggetto di costante monitoraggio nel tempo, per
comprendere se e in che misura un ente potrà essere ritenuto responsabile anche per reati commessi da parte di
terzi che abbiano approfittato delle “carenze” nelle misure di sicurezza informatica adottate dall’ente stesso. Si
pensi, ad esempio, a tutti quei casi in cui l’ente abbia omesso di adottare dei presidi di sicurezza informatica
aggiornati o rapportati alle dimensioni, al business e ai rischi propri all’ente stesso, agevolando così la condotta
criminale di terzi.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
-6-
Capitolo 1 - Introduzione normativa sulla criminalità
informatica2
L’esigenza di apprestare un sistema di prevenzione e tutela dai reati informatici3, inquadrati nel più ampio
e pervasivo fenomeno del cybercrime, commessi mediante l’abuso di elementi della tecnologia
informatica, software e hardware, è emersa solo a partire dalla fine degli anni ’80, in conseguenza
dell’evoluzione informatica, della sua diffusione non solo in ambiti governativi, pubblici, ma anche privati,
e dell’introduzione e diffusione della rete internet.
In sintesi, nel mondo del cybercrime, le condotte delittuose perseguite dal legislatore possono pertanto
essere sinteticamente suddivise in due categorie:
• computer crime, che hanno come obiettivo l’attacco o l’intrusione prevalentemente a scopo di
lucro di computer e device (attacchi informatici a infrastrutture digitali tramite virus, denial-of-
service attacks, malware, ecc.);
• computer facilitated (o related) crime, ovvero crimini comuni realizzati attraverso l’impiego di
strumenti informatici (furto, trattamento illecito di dati, appropriazione indebita, riciclaggio,
clonazione di strumenti di pagamento, estorsione, frode informatica, information warfare,
phishing, dialer, spam, ecc.).
Lo sviluppo tecnologico e la nascita di internet, in particolare, hanno creato un nuovo canale di
comunicazione che tuttavia è divenuto rapidamente veicolo per la realizzazione di illeciti. In altri termini,
un risvolto negativo dello sviluppo tecnologico dell’informatica.
In detta evoluzione, sono comparse delle inedite categorie di “criminali”, quali ad esempio i produttori di
hardware e software aventi finalità intrusive e illecite (malware) e gli hacker, ma vi è stato anche un
ampliamento di fatto dei delitti, tra cui l’hacking, la diffusione di virus informatici, le frodi telematiche, lo
spamming, la diffusione di informazioni illegali online.
Così i supporti informatici, i dati e i programmi sono divenuti, da meri strumenti, mezzi materiali od oggetti
di condotte criminose non contrastabili o prevenibili con gli strumenti legislativi allora vigenti.
Il primo testo normativo emanato a riguardo a livello europeo è stato la
EUROPA
Raccomandazione sulla Criminalità Informatica del Consiglio d'Europa, che ha
1990
individuato le condotte informatiche ritenute abusive e passibili di intervento
2 Ai fini del presente elaborato si è scelto di non trattare le tematiche connesse ai delitti di terrorismo e
cyberbullismo e pedopornografia che pur avendo subito rilevanti modifiche normative per lo strumento con il
quale vengono commessi o facilitati detti reati, sono scevri dall’analisi che si è inteso operare strettamente
connessa ai delitti previsti dall’art. 24-bis del D.Lgs. 231/2001.
4
Ai fini del presente elaborato, utilizzerà in generale il concetto di “reati informatici”, ricomprendendo in tale
definizione anche quelli che possano essere commessi con mezzi:
- telematici, ossia strumenti capaci di connettere tra loro più sistemi informativi;
- telegrafici, ossia strumenti che consentono la trasmissione di dati attraverso la tecnologia telegrafica;
- telefonici, ossia strumenti che consentono la trasmissione di dati attraverso la tecnologia telefonica.
Allo stesso modo, si parlerà in generale di “strumenti informatici”. Verrà al contrario impiegata la nozione di
“strumenti informatici o telematici” ogni qual volta la norma di legge citata faccia riferimento esplicito a entrambe
le categorie.
4
G. TADDEI ELMI (curatore), R. ORTU, P. CIFALDI, La Raccomandazione del Consiglio d'Europa del 9 settembre 1989
n. R (89)-9 e la Legge 23 dicembre 1993 n. 547 in materia di computer crimes: una analisi comparativa, in
Informatica e diritto, XXII annata, Vol. V, 1996, n. 1, pp. 113-132, par. 2.1.
5
Legge 23 dicembre 1993 n. 547 (G. U. n. 305 del 30 dicembre 1993) Modificazioni ed integrazioni alle norme del
codice penale e del codice di procedura penale in tema di criminalità informatica.
6
Legge 18 marzo 2008 n. 48 (G.U. n. 80 del 4 aprile 2008 - Supplemento ordinario n. 79) Ratifica ed esecuzione
della Convenzione del Consiglio d´Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e
norme di adeguamento dell´ordinamento interno.
7
Legge 15 febbraio 2012, n. 12 (G.U. Serie Generale n. 45 del 23 febbraio 2012), Nuove disposizioni in materia di
misure per il contrasto ai fenomeni di criminalità informatica.
8
Decreto Legge 21 settembre 2019 n. 105 (G.U. n. 222 del 21 settembre 2019) convertito con modificazioni, dalla
Legge 18 novembre 2019, n. 133 Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di
disciplina dei poteri speciali nei settori di rilevanza strategica (SICUREZZA CIBERNETICA).
Detto testo normativo deve essere letto unitamente al D. Lgs. 65/2018, di recepimento della Direttiva (UE)
2016/1148 del 6 luglio 2016, Network & Information Security (NIS) che ha come scopo quello di rafforzare la tutela
dei servizi il cui malfunzionamento potrebbe causare danni alla popolazione e al tessuto produttivo.
Si precisa fin d’ora che tale delitto, per la sua peculiarità e ristretta applicabilità, non sarà oggetto precipuo
del presente approfondimento, che ha invece lo scopo di fornire una più ampia panoramica dei rischi
informatici cui potrebbero in linea teorica essere esposte la totalità (o quasi) delle realtà aziendali operanti
nei più diversi settori economici. Va nondimeno rilevato come non possa escludersi che i presidi che
verranno analizzati nel corso del prosieguo potranno in massima parte essere ritenuti applicabili, mutatis
muntandis, anche agli enti qualificati quali Operatori di Servizi Essenziali, nonché agli enti inclusi nel
Perimetro di Sicurezza Nazionale Cibernetica. Detti presidi potranno infatti configurarsi quali regole
cautelari “minime” da implementare per la prevenzione dei reati informatici astrattamente loro
applicabili. Tali regole saranno poi necessariamente dettagliate e integrate da quelle peculiari per tali enti,
dettate dal D.L. n. 105/2019 e dal D. Lgs. 65/2018.
I reati introdotti o modificati dai testi normativi richiamati non sono contenuti in un singolo titolo del
codice penale, avendo il legislatore italiano preferito privilegiare il criterio del bene giuridico tutelato.
Troviamo pertanto inseriti,
• tra i delitti contro la fede pubblica (Libro II, Titolo VII), in particolare sulla falsità in atti e la falsità
personale (capi III e IV) gli articoli:
491-bis c.p. Documenti informatici con previsione del reato di falso informatico
Si tratta di norme complementari che hanno quale obiettivo quello di preservare la continuità di servizi essenziali,
e possono riguardare i medesimi obbligati, come sancito espressamente dall’art. 1 comma 8, D.L. 105/2019.
In particolare, l’art. 4 D. Lgs. 65/2018 individua i seguenti criteri per l'identificazione degli operatori di servizi
essenziali: “a) un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o
economiche fondamentali; b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; c) un incidente
avrebbe effetti negativi rilevanti sulla fornitura di tale servizio”, mentre sono destinatari della normativa sul
Perimetro di sicurezza nazionale cibernetica, ai sensi del Decreto del Presidente del Consiglio dei Ministri del 30
luglio 2020 n.131, gli operatori attivi nei seguenti ambiti: interno, difesa, spazio e aerospazio, energia e
telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali o del lavoro.
9
L’Art. 1, comma 11, del D.L. 105/2019 in particolare introduce una nuova fattispecie di delitto che punisce con la
reclusione da 1 a 3 anni coloro i quali forniscono informazioni o dati non rispondenti al vero rilevanti per
l’aggiornamento degli elenchi degli operatori dei servizi essenziali, per gli affidamenti di forniture di beni, sistemi e
servizi ICT destinati ad essere impiegati sulle reti, per le attività ispettive e di vigilanza, nonché coloro i quali
omettono tali informazioni, allo scopo di ostacolare o condizionare l’espletamento dei procedimenti di cui all’art.
1, comma 2, lett. b) procedimento di compilazione e aggiornamento degli elenchi delle reti, dei sistemi informativi
e dei servizi informatici, e comma 6, lett. a), procedimenti relativi all’affidamento di forniture di beni, sistemi e
servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi, e lett. c) attività ispettive e di vigilanza della
Presidenza del Consiglio dei ministri e del Ministero dello sviluppo economico. si tratta di una condotta connotata
dal dolo specifico, punito sia nella forma omissiva che in quella commissiva, tesa ad ostacolare o condizionare
l’espletamento dei procedimenti, descritti nello stesso art. 1 del D.L. 105/2019, per i quali è imposto l’obbligo di
verità.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
-9-
• tra i delitti contro la persona (Libro II, Titolo XII), in particolare contro la libertà individuale
mediante violazione del domicilio e violazione dei segreti (capo III, sezioni IV e V) gli articoli:
• tra i delitti contro il patrimonio (Libro II, Titolo XIII), in particolare mediante violenza e mediante
truffa (capi I e II) gli articoli:
10
Rubrica così sostituita dall’art. 19 della Legge n. 238/2021 contenente "Disposizioni per l'adempimento degli
obblighi derivanti dall'appartenenza dell'Italia all'Unione Europea - Legge Europea 2019-2020”. La riforma ha
esteso la cornice edittale della pena della reclusione sino a 2 anni nell’ipotesi base e da 1 a 3 anni se ricorre taluna
delle circostanze di cui all’art. 617-quater comma 4. La precedente rubrica recitava: Detenzione e diffusione
abusiva di codici di accesso a sistemi informatici o telematici.
11
Rubrica così sostituita dall’art. 19 della Legge n. 238/2021. La precedente rubrica recitava: Diffusione di
apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o
telematico.
12
L’art. 19 della Legge n. 238/2021 ha esteso la cornice edittale della pena della reclusione, ora prevista da 1 anno
e 6 mesi a 5 anni e da 3 a 8 anni se il fatto è commesso secondo le modalità previste dal comma 4.
13
Rubrica così sostituita dall’art. 19 della Legge n. 238/2021. La precedente rubrica recitava: Installazione di
apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 10 -
635-quinquies c.p. Danneggiamento di sistemi informatici o telematici di pubblica utilità
640-quinquies c.p. Frode informatica del soggetto che presta servizi di certificazione di firma
elettronica
Sono stati inoltre modificati alcuni reati “comuni” già previsti dal codice penale con estensione delle
fattispecie punite ai nuovi beni tutelati:
392 c.p. Esercizio arbitrario delle proprie ragioni con violenza sulle cose (con
estensione della condotta anche ai sistemi informatici)
621 c.p. Rivelazione del contenuto di documenti segreti (con estensione al comma
secondo del concetto di documento a “qualunque supporto informatico
contenente dati, informazioni o programmi”)
Infine, sono state estese ai documenti informatici le ipotesi di falsità di cui al Capo III Della falsità in atti,
Titolo VII Dei delitti contro la fede pubblica.
14
T. Pietrella, Reati informatici e concorso di norme: come l’evoluzione tecnologica informa il diritto penale. Il caso
delle Botnets, in Dis Crimen, 2.12.2021.
15
Convention on Cybercrime Budapest, 23.11.2001.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 11 -
• “dati informatici” sono qualsiasi rappresentazione di fatti, informazioni o concetti in una forma
idonea all'elaborazione in un sistema informatico, compreso un programma atto a provocare un
sistema informatico per svolgere una funzione.
In sede di legittimità,16 partendo dalle definizioni richiamate, è stato infatti affermato che “per sistemi
informatici o telematici (…) deve intendersi un complesso di dispositivi interconnessi o collegati con unità
periferiche o dispositivi esterni (componenti hardware) mediante l'installazione di un software contenente
le istruzioni e le procedure che consentono il funzionamento delle apparecchiature e l'esecuzione delle
attività per le quali sono state programmate”. In particolare, la giurisprudenza ha ritenuto sussistente la
condotta di cui all’art. 635-quater c.p. con riferimento alla distruzione, al fine di perpetrare un furto, di
due telecamere esterne dell’area di accesso ad una casa di cura intese quali componenti periferiche di un
sistema informatico di videosorveglianza, in quanto strumenti di ripresa e trasmissione di immagini e dati
ad unità centrali per la registrazione e memorizzazione.
È stato altresì affermato che i “dati informatici, contenenti files, sono qualificabili ‘cose mobili’ ai sensi
della legge penale” in quanto “il file, pur non potendo essere materialmente percepito dal punto di vista
sensoriale, possiede una dimensione fisica costituita dalla grandezza dei dati che lo compongono, come
dimostrano l’esistenza di unità di misurazione della capacità di un file di contenere dati e la differente
grandezza dei supporti fisici in cui i files possono essere conservati e elaborati” e deve essere pertanto
tutelato nella sua capacità “di esser trasferito da un luogo ad un altro, anche senza l’intervento di strutture
fisiche direttamente apprensibili dall’uomo”.17 Nel dettaglio, è stata ritenuta “condotta di appropriazione
indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati
informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati e alla
restituzione del computer ‘formattato’”. Per la configurabilità della condotta appropriativa, infatti, “va
considerata la capacità del file di essere trasferito da un supporto informatico ad un altro, mantenendo le
proprie caratteristiche strutturali, così come la possibilità che lo stesso dato viaggi attraverso la rete
Internet per essere inviato da un sistema o dispositivo ad un altro sistema, a distanze rilevanti, oppure per
essere ‘custodito’ in ambienti ‘virtuali’ (corrispondenti a luoghi fisici in cui gli elaboratori conservano e
trattano i dati informatici); caratteristiche che confermano il presupposto logico della possibilità del dato
informatico di formare oggetto di condotte di sottrazione e appropriazione. In conclusione, pur se difetta
il requisito della apprensione materialmente percepibile del file in sé considerato (se non quando esso sia
fissato su un supporto digitale che lo contenga), di certo il file rappresenta una cosa mobile”.
Analogo sforzo ermeneutico è stato compiuto per identificare in concreto le condotte che il legislatore ha
inteso sanzionare. Le rubriche penalistiche, infatti, non sono idonee a coprire, come detto a causa della
eccessiva genericità della formulazione, tutte le fattispecie di cybercrime (spamming, phishing, hacking,
skimming, diffusione e creazione di malware ecc.).
Si intende per esempio per skimming la “tecnica criminale con cui, grazie all'utilizzo di uno skimmer
(apparecchio per la lettura e la memorizzazione dei contenuti presenti sulle bande magnetiche delle carte
elettroniche), il truffatore entra in possesso dei dati delle carte di pagamento, codice PIN incluso (in caso
di bancomat o carta di credito multifunzione)”, mentre per phishing la “tecnica fraudolenta online con cui,
grazie all’invio di false email molto simili a quelle inviate da istituti emittenti o noti siti e-commerce, il
truffatore entra in possesso del numero di carta di credito, codice segreto, dati personali del titolare della
carta. Il phishing identifica, principalmente, le truffe basate su transazioni online non autorizzate dal
titolare”.18
16
Cassazione Penale, Sez. V, 8 gennaio 2020, n. 4470.
17
Cassazione Penale, Sez. II, 13 aprile 2020 (ud. 7 novembre 2019), n. 11959.
18
Tribunale di Roma, Sez. XVII, 25 giugno 2019, (ud. 24 giugno 2019), n. 13442, nonché in tema di phishing
Cassazione Penale, Sez. II, 9 febbraio 2017, n. 10060.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 12 -
1.2. I reati informatici 231: dall’art. 24 all’art 24-bis e interferenze con i
computer facilitated crime. Ipotesi di riforma
Il D.Lgs. 231/2001, nella sua prima versione, attribuiva la responsabilità amministrativa agli enti per le sole
frodi informatiche perpetrate in danno dello Stato o di un Ente pubblico (art. 640-ter c.p., incluso nell’art.
24 del D.Lgs. 231/2001).
Attesa la necessità di introdurre forme di responsabilità penale per le persone giuridiche anche con
riferimento ai reati informatici più gravi, 19 nel 2008, con la legge di ratifica ed esecuzione della
Convenzione del Consiglio d’Europa sulla criminalità informatica (Budapest il 23 novembre 2001),20 è stato
inserito nel Decreto 231 l’art. 24-bis Delitti informatici e trattamento illecito di dati, che oggi prevede:
la sanzione pecuniaria da cento a cinquecento in relazione alla commissione dei delitti di cui
quote nonché le sanzioni interdittive di cui agli artt. 615-ter, 617-quater, 617-quinquies,
all’art. 9, comma secondo, lettere a), b) ed e) 635-bis, 635-ter, 635-quater e 635-quinquies
c.p.;
la sanzione pecuniaria sino a trecento quote in relazione alla commissione dei delitti di cui
nonché le sanzioni interdittive di cui all’art. 9, agli artt. 615-quater e 615-quinquies c.p.;
comma secondo, lettere b) ed e)
la sanzione pecuniaria sino a quattrocento in relazione alla commissione dei delitti di cui
quote nonché le sanzioni interdittive di cui agli artt. 491-bis e 640-quinquies c.p., fatta
all’art. 9, comma secondo, lettere c), d) ed e) eccezione per le condotte già sanzionate
dall’art. 24 con riferimento ai casi di frode
informatica in danno dello Stato o di altro ente
pubblico.
Come già anticipato al precedente par. 1, il terzo comma dell’art. 24-bis del D.Lgs. 231/2001 è stato
modificato dall’art. 1, comma 11-bis, del D.L. 105/2019,21 con l’inserimento della condotta di cui all'art. 1,
comma 11, del medesimo D.L., che punisce con la reclusione da 1 a 3 anni chi fornisce informazioni o dati
non rispondenti al vero rilevanti per l’aggiornamento degli elenchi degli operatori dei servizi essenziali,
per gli affidamenti di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, per le
attività ispettive e di vigilanza, nonché chi omette tali informazioni, allo scopo di ostacolare o condizionare
l’espletamento dei procedimenti di compilazione e aggiornamento degli elenchi delle reti, dei sistemi
informativi e dei servizi informatici (art. 1, comma 2, lett. b) e dei procedimenti relativi all’affidamento di
forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti e sui sistemi informativi (art.
1, comma 6, lett. a) ovvero le attività ispettive e di vigilanza della Presidenza del Consiglio dei ministri e
del Ministero dello sviluppo economico (art. 1, comma 6, lett. c).22
Sorprende constatare che, al netto della rubrica che espressamente prevede il “trattamento illecito di
dati”, non siano stati inseriti nel corpo dell’articolo i delitti di cui agli artt. 167, 167-bis e 167-ter del D.Lgs.
19
Disegno di legge recante: "Ratifica ed esecuzione della Convenzione d'Europa sulla criminalità informatica fatta a
Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno".
20
Cfr. sub nota 5.
21
Cfr. sub nota 7.
22
Cfr. sub nota 8.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 13 -
196/2003, come modificato dal D.Lgs. 101/2018, recante attuazione del Regolamento Europeo n.
679/2016, c.d. G.D.P.R.
Si tratta di un evidente vuoto di tutela che andrà colmato quanto prima in considerazione delle
interferenze tra la normativa 231 e la normativa in tema di data protection, soprattutto per ciò che
concerne risk assessment, gap analysis e predisposizione dei modelli.23
In tale direzione, un primo tentativo di integrare la disciplina 231 con quella della tutela dei dati personali
(nella fattispecie: dati relativi a mezzi di pagamento) è rappresentato dal D.Lgs. 184/2021.24
Nell’ambito di un più ampio obiettivo di contrasto alle frodi e alle falsificazioni di mezzi di pagamento
diversi dai contanti, tale decreto, per quanto qui di interesse, ha modificato l’art. 493-ter c.p., con
estensione delle condotte illecite anche agli strumenti di pagamento immateriali, e ha introdotto l’art.
493-quater c.p., con il quale sono state punite la fabbricazione, l’ottenimento per sé o per altri, inclusi
l’importazione, l’esportazione, la vendita, il trasporto o la distribuzione, o la messa a disposizione, di un
dispositivo o di uno strumento, di dati informatici o di altri mezzi principalmente progettati o
specificamente adattati per commettere condotte illecite.
È stato pertanto introdotto nel D.Lgs. 231/2001 l’art. 25-octies1 Delitti in materia di strumenti di
pagamento diversi dai contanti, che ha previsto alla lett. b) la sanzione pecuniaria sino a 500 quote
nonché le sanzioni interdittive di cui all’art. 9, comma secondo, per il delitto di cui all'articolo 493-quater
e per il delitto di cui all'articolo 640-ter, nell'ipotesi aggravata dalla realizzazione di un trasferimento di
denaro, di valore monetario o di valuta virtuale.
Per completezza, non possiamo infine tacere che, accanto ai delitti informatici tipici, vi sono altri c.d.
computer facilitated (o related) crime che hanno trovato ingresso anch’essi nel Decreto 231, e in
particolare gli artt. 25-sexies Abusi di mercato, 25-octies Ricettazione, riciclaggio e impiego di denaro, beni
o utilità di provenienza illecita, nonché autoriciclaggio, 25-nonies Delitti in materia di violazione del diritto
d’autore, qui di interesse nella misura in cui vengano commessi con l’impiego degli strumenti informatici.
Si pensi per ciò che concerne gli abusi di mercato ai sistemi di broker crossing, all’utilizzo di piattaforme
di negoziazione dei derivati, alle negoziazioni automatizzate e all’utilizzo dei sistemi hardware e software,
c.d. High-Frequency Trading (HTF) che rappresentano nuovi e concreti rischi per l'ordinato funzionamento
del mercato, 25 nonché alla rilevanza delle condotte di c.d. cybericiclaggio (anche nella forma
dell’autoriciclaggio) ove, per esempio concernano l’utilizzo di criptovalute, con il vantaggio dell’anonimato
consentito dalle blockchain e, da ultimo, alle violazioni del diritto di autore con riferimento ai software, ai
suoi codici sorgente e ai suoi codici oggetto.
Il presente approfondimento si concentrerà sulla categoria dei computer crime e, in particolare, su quelli
menzionati dal già citato art. 24-bis del D.Lgs. 231/2001 (oltre all’ipotesi di frode informatica punita
invece, come già anticipato, dall’art. 24 del D.Lgs. 231/2001), la commissione dei quali potrebbe pertanto
comportare a carico della società una contestazione per responsabilità amministrativa.
23
Potrebbe in tal senso essere ripresa la riforma, mai attuata, di cui all’originario comma secondo dell’articolo 9
del D. L. 93/2013, poi soppresso in sede di conversione con la L. 119/2013, che includeva nel “Catalogo 231” anche
i delitti in materia di privacy come il trattamento illecito dei dati e le false comunicazioni al Garante (Parte III, Titolo
III, Capo II del decreto legislativo 30 giugno 2003, n. 196), oltre al delitto di frode informatica (ex art.640-ter c.p.) e
ai pagamenti illeciti in formato elettronico (art. 55, comma non del Decreto Legislativo 21 novembre 2007, n. 231).
24
Decreto Legislativo, 8 novembre 2021, n. 184 (GU n. 284 del 29.11.2021 - Suppl. Ordinario n. 40) Attuazione
della direttiva (UE) 2019/713 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativa alla lotta contro
le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti e che sostituisce la decisione quadro
2001/413/GAI del Consiglio (21G00200).
25
Direttiva 2014/65/UE del Parlamento Europeo e del Consiglio del 15 maggio 2014, relativa ai mercati degli
strumenti finanziari e che modifica la direttiva 2002/92/CE e la direttiva 2011/61/UE.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 14 -
1.3. I reati informatici 231: breve analisi delle singole fattispecie oggi in vigore26
Per l’inserimento dei delitti informatici nell’ambito dell’ordinamento penale italiano e poi nel catalogo dei
reati presupposto 231, è stata utilizzata una tecnica legislativa basata sulla valorizzazione delle condotte
a seconda che siano state commesse con l’utilizzo di sistemi informatici o per il tramite della rete internet,
nonché a seconda della condotta posta in essere, del soggetto agente e del bene giuridico tutelato.
Per la disamina dei singoli reati presupposto di cui all’art. 24-bis del D.Lgs. 231/2001 e della frode
informatica di cui all’art. 24 del medesimo decreto, si seguirà pertanto il criterio utilizzato in sede di
modifica e/o integrazione dei singoli reati nel codice penale.
26
Codice penale commentato, AA.VV., Wolters Kluwer.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 15 -
Il delitto di accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.),27 malgrado un
acceso ed irrisolto conflitto dottrinale sulla circoscrivibilità del bene giuridico tutelato, in base alla più
recente giurisprudenza è stato introdotto al fine di tutelare il domicilio informatico.28
Esso, secondo la definizione ormai recepita da numerose pronunce della Corte si Cassazione,29 è costituito
dallo spazio ideale, i cui confini “virtuali” (ma anche fisici in cui sono contenuti i dati informatici) sono
rappresentati da informazioni di pertinenza della persona, a cui viene estesa la tutela della riservatezza
della sfera individuale, quale bene anche costituzionalmente protetto.
Detta norma, che prevede ai fini della sua configurabilità la mera sussistenza in capo all’agente del dolo
generico, non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi
informatici protetti, ma offre una tutela più ampia che si concreta nello jus excludendi alios, quale che sia
il contenuto dei dati racchiusi in esso, purché attinente alla sfera di pensiero o all'attività, lavorativa o
non, dell'utente, sia esso persona fisica o giuridica.
Il perimetro tracciato dalla norma in commento circoscrive la tutela ai soli sistemi protetti da misure di
sicurezza, ovvero dispositivi idonei ad impedire l'accesso al sistema a chi non sia autorizzato, anche ove
consistano in una password banale e facilmente aggirabile, in quanto la pretesa esistenza della misura di
sicurezza, è esclusivamente preordinata a rendere esplicita e non equivoca la volontà di riservare l'accesso
solo a determinate persone, ovvero di porre un generale divieto di accesso.
Integra, dunque, la fattispecie in commento la condotta di accesso o di mantenimento nel sistema, posta
in essere da un soggetto che non sia abilitato ovvero, pur essendo abilitato, violi le condizioni e i limiti
risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne
oggettivamente l'accesso, oppure ponga in essere operazioni di natura ontologicamente diversa da quelle
per le quali l'accesso è consentito.30
Si tratta in altri termini di un reato di pericolo che si realizza “ogniqualvolta l’ingresso abusivo riguardi un
sistema informatico in cui sono contenute notizie riservate, indipendentemente dal tipo di notizia
eventualmente appresa”.31
L’art. 615-quater c.p. è una norma a più fattispecie che incrimina con identica sanzione un ampio novero
di condotte (“procurarsi”, “detenere”, “produrre”, “riprodurre”, “diffondere, “importare”, “comunicare”,
“consegnare”, “mettere in altro modo a disposizione di altri o installare apparati, strumenti, parti di
apparati o di strumenti”), tutte singolarmente integranti il reato di detenzione, diffusione e installazione
abusiva di apparecchiature, codici e altri mezzi atti all'accesso a sistemi informatici o telematici, e tutte
aventi natura giuridica di reato di pericolo (poiché il relativo disvalore è incentrato su condotte
prodromiche rispetto ad un eventuale successivo accesso abusivo ad un sistema informatico o
telematico), di mera condotta, per la cui integrazione non assume rilievo l'effettivo utilizzo del mezzo
d’accesso ad un sistema informatico o telematico protetto de quo, essendo sufficiente la mera idoneità
dei dati carpiti a consentire detto accesso.
27
In base all’art. 1 della Convenzione di Budapest, non recepito nella parte delle definizioni dal legislatore
nazionale, per sistema informatico si intende il complesso organico di elementi fisici (hardware) ed astratti
(software) che compongono un apparato di elaborazione automatica dei dati (cfr. Cassazione Penale, Sez. VI, 4
ottobre 1999, n. 3067, nonché Tribunale di Milano, Sez. III, 19 marzo 2007, Tribunale di La Spezia 23 settembre
2004, Gmer, 2005, 615). Per sistema telematico, invece, si intende, secondo una interpretazione estensiva, ogni
forma di telecomunicazione che si giovi dell'apporto informatico per la sua gestione oppure che sia al servizio di
tecnologie informatiche, indipendentemente dal fatto che la comunicazione avvenga via cavo, via etere o con altri
sistemi.
28
Cfr., ex multis, Cassazione Penale, Sez. II, 14 gennaio 2019, n. 21987.
29
Cfr., ex plurimis, Cassazione Penale, Sez. V, 26 ottobre 2012, n. 42021.
30
Cassazione Penale, Sez. V, 17 maggio 2021, n. 26530.
31
Cassazione Penale, Sez. V, 27 febbraio 2019, n. 8541 nonché Cassazione Penale, Sez. V, 9 novembre 2018, n.
8541.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 16 -
Si differenzia dal delitto che lo precede in quanto ne costituisce necessario antefatto, tutelando entrambi
il medesimo bene giuridico, ovvero il domicilio informatico, passando da condotte meno invasive a
condotte più invasive, che potrebbero anche presupporre le prime.32
Detta norma, per la cui configurabilità è richiesto il dolo specifico, sanziona l’abusiva acquisizione e
diffusione, con qualsiasi modalità, dei mezzi o codici di accesso preordinati a consentire a soggetti non
legittimati l’introduzione nel sistema informatico o telematico altrui protetto da misure di sicurezza. Va
peraltro ricordato che, come affermato dalle Sezioni Unite,33 il reato è configurabile anche nel caso in cui
l’utente, pur in possesso delle autorizzazioni per accedere a un sistema informatico o telematico, utilizzi
la facoltà di accesso per conseguire finalità illecite.
Anche in questo caso, il bene giuridico tutelato è il domicilio informatico a cui si affiancano la tutela della
segretezza dei dati e dei programmi.
Si tratta di un reato di pericolo indiretto dal momento che, entrando in possesso abusivamente di codici
di accesso, si presenta il pericolo di commettere un accesso abusivo ad un sistema.
Secondo la giurisprudenza di legittimità, dunque, integra il reato di detenzione e diffusione abusiva di
codici di accesso a servizi informatici e telematici (e non quello di ricettazione) la condotta di chi riceve i
codici di carte di credito abusivamente scaricati dal sistema informatico ad opera di terzi e li inserisce in
carte di credito clonate poi utilizzate per il prelievo di denaro contante attraverso il sistema bancomat.34
La fattispecie residuale di cui all’art. 615-quinquies c.p., nella sua attuale e più estesa previsione,
ricomprende una più ampia gamma di fonti di rischio, non solo il software, ma anche apparecchiature e
dispositivi.
Le condotte sanzionate sono il procurarsi, detenere, produrre, riprodurre, importare o, comunque,
mettere in altro modo a disposizione di altri o istallare detti oggetti con lo scopo o l’effetto di danneggiare
sistemi informatici (nel senso più ampio di interrompere o alterare il funzionamento dei sistemi
informatici o telematici oppure i dati o i programmi in esso contenuti o ad esso pertinenti).
Per la sua sussistenza è necessario il dolo specifico ma prescinde dal verificarsi del danneggiamento, e
pertanto è annoverabile tra i reati di pericolo eventualmente indiretto.
In detta fattispecie rientrano l’utilizzo di programmi come virus, worm, malware, backdoor, spyware,
keylogger35 ecc. che nel più grave dei casi comportano la cancellazione totale dell’hard-disk, la modifica
dei file ivi contenuti, l’alterazione del contenuto del video, la perdita di funzionalità specifiche dei
programmi o di alcuni di essi fino alla sostituzione o alterazione di funzioni.36
Le condotte sanzionate hanno come oggetto anche apparecchiature e dispositivi, come l’hardware che
può venire corrotto, danneggiato o alterato anche parzialmente da dongle, smart card, skimmer ecc.
32
Cfr. sub nota 22.
33
Cassazione Penale, SS.UU., 27 ottobre 2011, n. 4694.
34
Cassazione Penale, Sez. II, 3 ottobre 2013, n. 47021.
35
Più nel dettaglio, si intendono:
- per worm, programmi malevoli che si replicano all’interno di un sistema informatico e, saturandolo, ne
impediscono l’utilizzo;
- per malware, programmi malevoli che infettano il sistema informatico e operano sullo stesso contro la
volontà dell’utente;
- per backdoor, programmi malevoli che consentono di avere accesso al sistema informatico di un utente,
anche senza l’autorizzazione di quest’ultimo;
- per spyware, programmi malevoli che consentono di raccogliere informazioni sul sistema informatico in cui
tali programmi sono installati;
- per keylogger, programmi malevoli che trasmettono i dati relativi ai tasti digitati su una tastiera da un
utente.
36
PARODI, CALICE, Responsabilità penali e internet, Milano, 2001, 86.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 17 -
Delitti contro la inviolabilità dei segreti
Come accaduto per i delitti di falso anche in questo caso il legislatore, mutuando quanto previsto in tema
di comunicazioni telefoniche e telegrafiche (art. 617 c.p.), ha ampliato la tutela anche alla segretezza,
libertà, riservatezza (art. 617-quater c.p.) e sicurezza (art. 617-quinquies c.p.) delle comunicazioni relative
ad un sistema informatico o telematico o intercorrenti tra più sistemi.
Si tratta di due fattispecie che possono essere trattate congiuntamente in quanto entrambe, per la loro
configurabilità, presuppongono il dolo generico e, trattandosi di reati di pericolo, realizzano una tutela
anticipata del bene giuridico tutelato.
Ciò che le contraddistingue sono le condotte specificamente individuate e punite dal legislatore.
L’art. 617-quater c.p., in particolare, individua: l’intercettazione, l’interruzione, l’impedimento e la
rivelazione di comunicazioni.
Secondo la giurisprudenza della Corte di Cassazione si intende per intercettazione anche l’acquisizione di
codici alfanumerici del bancomat mediante applicazione ai terminali di strumentazione idonea alla loro
captazione (rilevazione e copiatura).37
Si deve dunque trattare di una condotta perpetrata con modalità fraudolente, ovvero attraverso
strumenti idonei a celare ai comunicanti – o al sistema informatico stesso, che sia programmato per
consentire o negare autonomamente l’accesso – l’abusiva intromissione del soggetto agente.38
Sotto tale ultimo profilo è stata ritenuta fraudolenta anche l’intromissione effettuata
dall'amministratore del sistema eludendo, attraverso le password e gli altri strumenti d’accesso nella
propria disponibilità in ragione delle funzioni, gli sbarramenti posti all’accesso di estranei alle
comunicazioni.39
Per ciò che concerne le ulteriori condotte di interruzione ed impedimento, individuate dalla seconda parte
del primo comma dell’articolo in commento, esse consistono nel compimento di atti tecnicamente idonei
a far cessare una comunicazione in corso o a impedire che una nuova abbia inizio. Esse non richiedono
una modalità di esecuzione fraudolenta della condotta. Rientrano in tali ipotesi le condotte di chi utilizzi
particolari software in grado di accedere all'altrui computer durante la navigazione in internet,
provocando l’immediato spegnimento del modem e dunque la disconnessione dell'utente dalla rete, con
la conseguente interruzione di tutte le comunicazioni eventualmente in corso, ovvero l’automatica
esclusione di un utente dalle comunicazioni in corso, interrompendo così le conversazioni in atto tra
l’escluso e terzi soggetti.
Anche per la condotta di rivelazione non è richiesta la fraudolenza, essendo al contrario configurabile
anche in caso di intercettazione casuale. Come chiarito dalla giurisprudenza di legittimità, la rivelazione
del contenuto di conversazioni intercettate non presuppone necessariamente che colui il quale divulga
sia il medesimo soggetto autore dell’intercettazione, né che tale intercettazione sia stata operata
fraudolentemente, atteso che le ipotesi criminose di cui al primo e al secondo comma del predetto
articolo sono distinte e autonome, ma punisce chi, venuto comunque (e dunque anche casualmente e
incolpevolmente) a conoscenza del contenuto della comunicazione, la diffonda tra il pubblico.40
L’art. 617-quinquies c.p., invece, punisce le condotte di acquisizione, detenzione, produzione,
riproduzione, diffusione, importazione, comunicazione, consegna, messa a disposizione di altri e
installazione di apparecchiature idonee in concreto ad intercettare, interrompere o impedire
comunicazioni informatiche o telematiche.
37
Cassazione Penale, Sez. II, 9 novembre 2007, n. 45207.
38
Cassazione Penale, Sez. V, 30 gennaio 2015, n. 29091.
39
Cassazione Penale, Sez. V, 6 luglio 2007.
40
Cassazione Penale, Sez. V, 19 maggio 2005, n. 4011.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 18 -
L’integrazione del reato in esame è stata ravvisata nell’installazione, all’interno di un bancomat, di uno
scanner per bande magnetiche con batteria autonoma di alimentazione e microchip, idoneo a leggere,
raccogliere e memorizzare le relative comunicazioni e scambi di dati.41
Sovente detta condotta viene assorbita da quella prevista dall’art. 617-quater, in quanto l’attività di
fraudolenta intercettazione di comunicazioni informatiche presuppone necessariamente la previa
installazione delle apparecchiature atte a realizzare tale intercettazione, configurandosi un’ipotesi di
progressione criminosa.42
41
Cassazione Penale, Sez. V, 22 novembre 2019 (dep. 27 gennaio 2020), n. 3236, nonché Cassazione Penale, Sez. V,
9 luglio 2010, n. 36601.
42
Cassazione Penale, Sez. V, 18 dicembre 2015, n. 4059.
43
Si pensi, ad esempio, a società operanti nel settore della difesa, del trasporto pubblico, o multiutility che
forniscono energia, acqua, servizi di igiene urbana.
44
Cassazione Penale, Sez. II, 1 dicembre 2016, n. 54715.
45
Cfr., ex multis, Cassazione Penale, Sez. V, 9 ottobre 2020, n. 869.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 19 -
L’elemento soggettivo è rappresentato dal dolo generico, in questo caso dalla coscienza e volontà di
alterare il funzionamento di sistemi informatici o di intervenire senza diritto su dati, informazioni o
programmi in esso contenuti, nonché di procurare a sé o ad altri un ingiusto profitto con altrui danno.
A differenza degli altri delitti di danno, il sistema informatico nel delitto di frode non deve essere
compromesso al punto da essere inservibile.
Come chiarito dalla Corte si Cassazione l’elemento caratterizzante della frode informatica consiste
nell’utilizzo fraudolento del sistema informatico, servendosi di una carta di credito falsificata e di un codice
di accesso captato precedentemente con modalità fraudolenta, tramite il quale il soggetto agente penetra
abusivamente nel sistema informatico bancario, effettuando operazioni di trasferimento di fondi illecite.46
Con l’art. 9 del D.L. n. 93/2013 è stata introdotta, al terzo comma dell’articolo 640-ter c.p., una nuova
aggravante ad effetto speciale del delitto di frode informatica per il caso in cui il fatto venga commesso
con sostituzione dell’identità digitale in danno di uno o più soggetti. Detto reato rileva tuttavia ai fini 231
solo ove sia commesso in danno dello Stato o di altro ente pubblico.
Ulteriore specificazione delle condotte fraudolente è stata compiuta con l’art. 640-quinquies c.p., che
tuttavia si discosta dagli articoli che la precedono, andando a colmare un vuoto di tutela che si era venuto
a creare rispetto alla attività di certificazione e che comunque accomuna tale norma, sotto il profilo del
bene giuridico tutelato, più al delitto di cui all’art. 495-bis che a quelli di frode. La norma in commento,
infatti, sarebbe posta a presidio della integrità del sistema di certificazione qualificata che si
intenderebbe salvaguardare dagli eventuali abusi posti in essere dal certificatore "qualificato" in
violazione degli obblighi su di lui gravanti (garantire la genuinità delle informazioni contenute nei
certificati elettronici rilasciati e garantire la loro idoneità alla verifica della corrispondenza di una
determinata firma elettronica ad un dato soggetto).
La condotta incriminata si sostanzia nella violazione degli obblighi previsti dalla legge per il rilascio di un
certificato qualificato,47 al fine alternativamente descritto di procurare a sé o ad altri un ingiusto profitto
o di arrecare ad altri danno. Si tratta, pertanto, di un reato di mera condotta e a dolo specifico.
Come già anticipato, ricordiamo infine che il D.Lgs. 184/2021 ha introdotto nell’art. 640-ter c.p. un nuovo
secondo comma48 che prevede l’ipotesi aggravata della realizzazione di un trasferimento di denaro, di
valore monetario o di valuta virtuale.
Tale circostanza aggravante è stata altresì inserita nel nuovo dell’art. 25-octies1 del D.Lgs. 231/2001,
quale presupposto della responsabilità amministrativa dell’ente.
Ne deriva che, a oggi, il delitto di frode informatica ex art. 640-ter c.p. viene in rilievo a fini 231 in due
distinte e autonome famiglie di reato:
• nell’art. 24, se commesso in danno dello Stato o di altro ente pubblico o dell’Unione Europea, a
prescindere dalla concreta modalità realizzativa;
46
Cassazione Penale, Sez. II, 17 giugno 2019, n. 30480.
47
Cfr. art. 1, comma primo, lett. f), D.Lgs. n. 82/2005, secondo cui è tale il certificato elettronico conforme ai
requisiti di cui all'I, Dir. 13.12.1999, n. 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui all' II
della medesima direttiva.
48
Il nuovo comma 2 recita: “La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549
se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto
produce un trasferimento di denaro, di valore monetario o di valuta virtuale o è commesso con abuso della qualità
di operatore del sistema”.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 20 -
• nell’art. 25-octies1, solo nell’ipotesi aggravata in cui la frode comporti un trasferimento di denaro,
valore monetario o valuta virtuale, anche se commesso in danno di privati.49
1.4. La confisca
A conclusione di questo breve e non esaustivo excursus sulle caratteristiche principali dei reati informatici
presupposto della responsabilità 231, che nel prosieguo verranno meglio analizzati per ciò che concerne
la loro applicazione giurisprudenziale in procedimenti a carico di persone fisiche operanti in contesti
aziendali, anche per delinearne i possibili profili di contestabilità all’Ente a titolo di responsabilità
amministrativa, è bene accennare al tema della confisca.
Con l’art. 1, L. 15.2.2012, n. 12 è stato infatti modificato l’art. 240, comma secondo, n. 1 bis c.p. con
estensione della confisca obbligatoria dei beni e degli strumenti informatici o telematici che risultino
essere stati in tutto o in parte utilizzati per la commissione dei reati di cui agli artt. 615 ter, 615 quater,
615 quinquies, 617 bis, 617 ter, 617 quater, 617 quinquies, 617 sexies, 635 bis, 635 ter, 635 quater, 635
quinquies, 640 ter e 640 quinquies c.p.
Detta confisca è stata estesa, ad opera del D.Lgs. 29.10.2016, n. 202, al profitto ed al prodotto dei delitti
ivi previsti, consentendo altresì, in via sussidiaria, la confisca per equivalente di beni di valore pari al
profitto o al prodotto di tali reati, tramite l’aggiunta di un secondo periodo all’art. 240, comma secondo,
n. 1 bis c.p.
49
Tanto si deduce anche dalla Relazione Illustrativa del D.Lgs. 184/2021, secondo cui: “La misura della sanzione è
stata differenziata, prevedendo per i casi, più gravi, di cui all'articolo 493-ter la sanzione pecuniaria variabile tra
300 e 800 quote, parificata alla sanzione prevista (dall'articolo 25-bis) per la violazione dell'articolo mentre per le
condotte di cui agli articoli 493-quater e 640-ter, secondo comma aperta (limitatamente al caso qui introdotto), è
stata prevista la sanzione pecuniaria sino a 500 quote, per omogeneizzarla alla misura della sanzione per le
ulteriori ipotesi aggravanti di peso analogo, già ricomprese nelle stesse disposizioni, e già sanzionate all’articolo 24-
bis”.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 21 -
Capitolo 2 – Cenni giurisprudenziali sulla responsabilità 231
derivante da reati informatici
Una delle peculiarità della responsabilità amministrativa degli enti in relazione ai reati informatici è
l’assenza di specifica giurisprudenza di legittimità sull’art. 24-bis D.Lgs. 231/2001, nonché sulla frode
informatica di cui all’art. 640-ter c.p., che, lo si ricorderà, è ricompreso tra i reati contro la pubblica
amministrazione dall’art. 24 D.Lgs. 231/2001 in quanto punito solo se commesso a danno dello Stato o di
altro ente pubblico o dell’Unione Europea.50 Non si tratta, peraltro, di un fenomeno che riguarda i soli
reati informatici: accade spesso che, in processi penali incardinati per alcune famiglie di reato
presupposto, alla contestazione a carico di persone fisiche non si associ quella a carico dell’ente.51
A tal fine, giova ricordare che un’importante sentenza in tema di responsabilità amministrativa degli
enti,52 emessa nell’ambito di un caso in cui pure era contestato l’accesso abusivo a sistema informatico,
riguardava tuttavia una presunta condotta di accesso abusivo avvenuto prima del relativo inserimento nel
D.Lgs. 231/2001: l’ente è stato accusato della violazione degli artt. 81 cpv., 640-bis, 61, comma 1, n. 7, c.
p.
Segnatamente, la violazione dell'art. 615-ter c.p., contestata – ribadiamo – alle sole persone fisiche, ha
riguardato l’accesso a notizie riservate iscritte nel RE.GE da parte di dipendenti della Procura della
Repubblica di Bari, seppur titolari di regolari password. In particolare, secondo l’Accusa, sarebbe esistita
presso gli uffici giudiziari baresi la prassi di fornire notizie concernenti l'esistenza o meno di iscrizioni
apprese dal registro generale informatico. In tale circostanza, la Cassazione ha affermato che “le notizie
desumibili dall'accesso al REGE sono segrete ai fini e per gli effetti dell'art. 326 c.p. (vedi Sez. V, 5 ottobre
2004, n. 46174, Esposito ed altri). Dette notizie possono essere rivelate soltanto a chi ne abbia il diritto e
nel rispetto delle norme che regolano il diritto di accesso alle predette notizie”. Di conseguenza, i
dipendenti del Tribunale avrebbero “utilizzato la possibilità di accesso per acquisire notizie da divulgare a
soggetti interessati, in violazione di precise disposizioni di legge e per finalità contrarie a quelle previste
dalla legge”.
Nel corso dei dodici anni trascorsi dall’entrata in vigore della già menzionata L. 48/2008 e dalla
conseguente introduzione dei reati informatici nel “catalogo 231”, dunque, non è dato riscontrare
pronunce della Suprema Corte sulla responsabilità degli enti derivante da detti reati.
Di conseguenza, l’analisi che segue sarà incentrata su una serie di casi pratici che, ancorché abbiano
coinvolto le sole persone fisiche imputate, riteniamo possano fornire una serie di spunti interessanti
anche in tema di responsabilità delle persone giuridiche, alla luce:
• delle condotte contestate;
50
Come specificato nel capitolo che precede, il recente D.Lgs. 184/2021 ha esteso la responsabilità 231 per il
delitto di cui all'articolo 640-ter se commesso a danno di privati, nella nuova ipotesi aggravata dalla realizzazione di
un trasferimento di denaro, di valore monetario o di valuta virtuale tramite la condotta truffaldina.
51
Un simile fenomeno si riscontra, ad es., per i delitti di “Falsità in monete, in carte di pubblico credito, in valori di
bollo e in strumenti o segni di riconoscimento (art. 25-bis, D.Lgs. 231/2001). In materia di reati informatici, va
brevemente citata Cassazione Penale, Sez. V, 29 settembre 2020, n. 30753, nella quale la società imputata era
chiamata a rispondere degli illeciti amministrativi di cui al D.Lgs. n. 231 del 2001, art. 5, lett. a), artt. 21 e 24-bis: la
sentenza, tuttavia, si appunta su questioni meramente processuali e non fornisce principi di diritto sull’illecito
amministrativo dipendente dal reato (in questo caso, l’accesso abusivo a un sistema informatico).
52
Cassazione Penale, Sez. V, 20 giugno 2011, n. 24583.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 22 -
• delle realtà aziendali in cui queste ultime sono maturate;
• dell’interesse/vantaggio astrattamente ravvisabile in capo alla società.
Il ragionamento deduttivo seguito, con riferimento alle modalità di commissione dei reati presupposto, ai
contesti in cui si sono verificati e alle possibili ripercussioni nei confronti dell’ente, sarà propedeutico
all’approfondimento relativo alle attività di risk assessment e alla definizione dei presidi di controllo del
Modello 231, condotto nel successivo capitolo.
In coerenza con l’impostazione seguita nel capitolo che precede, per la disamina della giurisprudenza e
dei casi pratici si farà riferimento al criterio utilizzato in sede di modifica e/o integrazione dei singoli reati
nel codice penale, tenendo in considerazione, per ciascuna “famiglia” di reati, le fattispecie di più
frequente e più significativa applicazione pratica.53
53
Ad esempio, non verrà analizzata la giurisprudenza sull’art. 617-quinquies c.p., sull’art. 635-ter c.p. o sull’art.
635-quinquies c.p. in quanto non è dato rinvenire pronunce che rientrino nei parametri d'indagine sopra delineati,
né si registrano sentenze di legittimità sui delitti di "Frode informatica del certificatore di firma elettronica” (art.
640-quinquies c.p.).
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 23 -
2.1. I reati informatici in azienda: casi pratici affrontati dalla Corte di Cassazione
Della falsità in atti
Una delle modalità paradigmatiche di realizzazione del reato ex art. 491-bis c.p. è certamente la
falsificazione di documenti pubblici informatici54 contenenti gli importi dovuti dall’ente alla PA nel caso
di flussi informatizzati dei pagamenti tra privati e PA (es. riduzione degli importi).55
Questa è tuttavia solo una delle possibili modalità di realizzazione della fattispecie. Una pronuncia in tema
di falsità in documenti informatici che, sebbene risalente (2003), merita di essere richiamata in questa
sede, individua, infatti, una peculiare modalità di concretizzazione del reato presupposto.56
La vicenda processuale ruotava intorno alla presunta condotta di un dipendente dell’Ispettorato Generale
dell’Albo Nazionale dei Costruttori del Ministero dei lavori pubblici, accusato di aver immesso nell’archivio
informatico di tale Albo dati non corrispondenti alle delibere adottate dai competenti organi deliberativi,
in modo che determinate imprese risultassero iscritte nell’Albo per categorie e per importi di lavori non
corrispondenti a quelli reali.
Secondo l’Accusa, le falsità contestate alle persone fisiche erano state realizzate operando nell'archivio
informatico prima dell’inserimento nel codice penale dell’art. 491-bis c.p. (avvenuto con l’art. 3 L. n.
547/1993): si era pertanto posta la questione relativa alla configurabilità del reato di falso “semplice” in
atto pubblico (art. 476 c.p.).
Al riguardo, la Suprema Corte ha stabilito che: “Integra il reato di falsità materiale in atto pubblico (art.
476 c.p.) - anche nell’ipotesi che il fatto sia stato commesso prima dell’introduzione nel codice penale
dell'art. 491-bis c.p., ad opera dell'art.3 della legge 23 dicembre 1993, n. 547 - la condotta del pubblico
dipendente che inserisca nell’archivio informatico dell’Albo nazionale dei costruttori dati non
corrispondenti alle delibere adottate dai competenti organi deliberativi del predetto Albo – determinando
54
Si ricorda che il D.Lgs. n. 7/2017 ha disposto, con l'art. 2, comma 1, lettera e), la modifica dell'art. 491-bis, che
nella precedente versione recitava: “Se alcuna delle falsità previste dal presente capo riguarda un documento
informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti
pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico
contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli”. La
modifica è stata apportata in coerenza con l’avvenuta depenalizzazione – ad opera dello stesso D.Lgs. n. 7/2017 –
della falsità in scrittura privata, in passato punita dall’art. 485 c.p., il quale prevedeva: “Chiunque, al fine di
procurare a sé o ad altri un vantaggio o di recare ad altri un danno, forma, in tutto o in parte, una scrittura privata
falsa, o altera una scrittura privata vera, è punito, qualora ne faccia uso o lasci che altri ne faccia uso, con la
reclusione da sei mesi a tre anni. Si considerano alterazioni anche le aggiunte falsamente apposte a una scrittura
vera, dopo che questa fu definitivamente formata”.
55 Così si esprimono anche le Linee Guida di Confindustria nell’ultimo aggiornamento del 25 giugno 2021, che, nel
par. 2 dell’appendice sui “case study” dedicata ai delitti di cui all’art. 24-bis, individuano tra le modalità di
realizzazione del reato i possibili esempi: (i) Falsificazione di documenti informatici da parte di enti che procedono
a rendicontazione elettronica di attività; (ii) Cancellazione o alterazione di informazioni a valenza probatoria
presenti sui propri sistemi, allo scopo di eliminare le prove di un altro reato (es. l’ente ha ricevuto un avviso di
garanzia per un reato e procede ad eliminare le tracce elettroniche del reato stesso); (iii) Falsificazione di
documenti informatici contenenti gli importi dovuti dall’ente alla PA nel caso di flussi informatizzati dei pagamenti
tra privati e PA (es. riduzione degli importi) o alterazione dei documenti in transito nell’ambito del SIPA (Sistema
Informatizzato pagamenti della PA) al fine di aumentare gli importi dovuti dalla PA all’ente; (iv) Falsificazione di
documenti informatici compiuta nell’ambito dei servizi di Certification Authority da parte di un soggetto che rilasci
certificati informatici, aventi valenza probatoria, corrispondenti a false identità o attestanti falsi titoli professionali;
(v) Falsificazione di documenti informatici correlata all’utilizzo illecito di dati identificativi altrui nell’esecuzione di
determinate operazioni informatiche o telematiche in modo che queste risultino eseguite dai soggetti legittimi
titolari dei dati (es. attivazione di servizi non richiesti).
56
Cassazione Penale, Sez. V, 24 novembre 2003, n. 11915.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 24 -
l’iscrizione illecita di numerose imprese per categorie e per importi di lavori che in realtà non erano stati
loro riconosciuti - in quanto, nella previsione di cui all’art. 476 c.p. rientrava, ancor prima che entrasse in
vigore l’espressa previsione dell’art. 491-bis c.p., la condotta del pubblico ufficiale che, nell’esercizio delle
sue funzioni, avesse formato un atto informatico sostanzialmente o formalmente falso, posto che anche
attraverso lo strumento informatico il pubblico ufficiale può, nell’esercizio delle sue funzioni, formare un
documento rappresentativo di atti o fatti, destinato a dare quella certezza alla cui tutela sono preposte le
norme penali”.
Il caso di specie assume importanza ai fini del presente lavoro in quanto sono stati coinvolti – e chiamati
a rispondere a titolo di concorso nel reato commesso dal dipendente pubblico – anche i titolari delle
imprese private “beneficiarie” della falsificazione dei dati sull’archivio pubblico: costoro avevano infatti
potuto partecipare a gare pubbliche e aggiudicarsi i lavori, proprio in virtù delle iscrizioni non veritiere.
Si aggiunga che a uno dei titolari è stato altresì contestato il reato di falso ideologico in atto pubblico per
induzione57 “per aver sottoposto all’esame del Comitato58 certificati attestanti false iscrizioni dell’impresa,
determinando così le delibere del 13 luglio 1988 e del 27 giugno 1990, con le quali erano stati riconosciuti
all'impresa aumenti di importi relativi alle categorie per le quali risultava iscritta falsamente”.
La vicenda trattata dimostrerebbe pertanto come i reati di falso in documenti pubblici informatici
potrebbe assumere senz’altro rilevanza nell’ambito dell’attività d’impresa, nella misura in cui la condotta
privata determini o anche solo “partecipi” a quella pubblica.
Gli esponenti – apicali o sottoposti – di una società potrebbero infatti avere tutto l’interesse a ottenere
certificazioni e documenti (rilasciati dalla Pubblica Amministrazione in formato elettronico) necessari alla
conduzione (o al rafforzamento) del business della società di appartenenza - anche attraverso la
trasmissione di false informazioni al pubblico ufficiale (potendosi in questo caso integrare il reato di falso
per induzione) - godendo così l’impresa dei vantaggi conseguenti a indebiti provvedimenti amministrativi,
emanati in assenza dei presupposti di legge.
57
Il falso ideologico per induzione si configura, secondo costante giurisprudenza, quando la falsa attestazione è
dovuta a una dichiarazione non veritiera di un soggetto, recepita materialmente in un atto pubblico dal pubblico
ufficiale. Sul punto, si rinvia a titolo esemplificativo, a Cassazione Penale, Sez. V, 29 maggio 2014, n. 32759:
“Integra il delitto di falso ideologico in atto pubblico, mediante induzione in errore del pubblico ufficiale (artt. 48 e
479 cod. pen.), la condotta di colui che, presentandosi al punto di pronto soccorso di un ospedale, rende
dichiarazioni non veritiere, idonee a trarre in inganno i sanitari, che, confidando nella verità di quanto loro esposto,
redigono certificati medici falsi. (Fattispecie relativa a certificati di malattia relativi a sinistri mai verificatisi)”.
58
Il Comitato centrale per l’Albo dei costruttori, ndr.
59
Così anche la citata appendice sui “case study” delle Linee Guida di Confindustria, che indica tra le modalità di
realizzazione del delitto la violazione dei sistemi informatici dei concorrenti per acquisire a scopo di spionaggio
industriale la documentazione relativa ai loro prodotti/progetti, precisando che “tale condotta assume particolare
rilievo per gli enti la cui attività è basata su brevetti/disegni/attività di R&S (es. automotive, design, moda,
tecnologie, ecc.)”.
60
L’art. 615-ter c.p. è il reato informatico di maggiore applicazione giurisprudenziale, tra quelli previsti dall’art. 24-
bis D.Lgs. 231/2001.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 25 -
Vale la pena ricordare in proposito una recente sentenza con cui la Cassazione ha confermato le decisioni
di merito che avevano sancito la condanna dell’imputato per il reato di cui all’art. 615-ter c.p. per “essersi
introdotto abusivamente nel sistema informatico dello ‘Studio C. Associati di B. Rag. M. e C. Rag. A.’, a cui
era associato, e della società ‘C.B. Due di C.A. e B.M. s.n.c.’, di cui era socio, per effettuare il backup dei
dati in esso inseriti, in vista dello svolgimento di una autonoma attività professionale”.61
Sebbene costui fosse abilitato, in virtù della propria posizione, all’accesso ai sistemi informatici in
questione, tale accesso “era stato riconosciuto a favore di B.M. per il perseguimento degli scopi propri
dell’associazione e della società personale, per cui l’aver acceduto a quei sistemi per estrapolarne i dati in
esso contenuti e servirsene per finalità esclusive concreta un accesso abusivo, sanzionabile ai sensi della
norma suddetta”.
Vanno inoltre citati due ulteriori esempi in tal senso, in cui è ancora più evidente come il reato in esame
possa dare origine a contestazioni anche per la persona giuridica.
Un primo esempio è dato dalla sentenza in cui la Suprema Corte ha affrontato il caso di tre soci di una
associazione professionale che, in contrasto con il socio di maggioranza relativa (nominato anche
amministratore), avevano fondato una nuova associazione professionale.62 Prima dello scioglimento della
precedente associazione, ne avrebbero copiato l’archivio telematico, costituito da due server e da due
computer portatili conservati presso la sede sociale, e avrebbero iniziato un’opera di sviamento della
clientela.
La pronuncia è interessante ai fini della presente indagine in quanto – nell’annullare agli effetti civili la
sentenza impugnata con rinvio al giudice civile competente per valore in grado di appello – la Corte ha
rilevato come lo sviamento di clientela avesse procurato un danno allo studio (e un corrispondente
vantaggio della nuova associazione professionale): “la Corte di merito aveva segnalato che non
sussistevano i reati contestati, ma che non vi era dubbio che lo storno di clientela attuato tramite la
acquisizione dei dati ed il trattamento degli stessi avesse prodotto dei danni che avrebbero potuto essere
posti a fondamento di una pretesa risarcitoria a seguito di illecito civile. Appare difficile conciliare una tale
affermazione con la ritenuta assenza di nocumento, apparendo, peraltro, del tutto fuorviante l'argomento
che lo studio aveva continuato a funzionare. Il problema, infatti, non è questo perché nella specie potrebbe,
a cagione delle condotte costituenti reato poste in essere da B. e M., esservi stata una riduzione della
attività e di ciò i giudici avrebbero dovuto tenere conto”.
Parimenti merita di essere menzionata la decisione della Corte di Cassazione che ha sancito il possibile
concorso tra il reato di accesso abusivo e quello di turbata libertà dell'industria o del commercio (ex art.
513 c.p.)63, in quanto gli imputati avrebbero turbato l’attività economica di una impresa concorrente “a
mezzo delle condotte fraudolente di cui agli altri capi di imputazione (reati di cui agli artt. 615 ter e 646
c.p.) […], ponendo in essere le condizioni per uno storno di clientela da quest’ultima società”.64 Anche in
tale vicenda, pertanto, la finalità conseguita attraverso l’accesso abusivo sarebbe stata
l’impossessamento di informazioni dell’impresa concorrente utili per sviarne la clientela in favore della
società facente capo agli imputati.
Dai precedenti citati si comprende la possibile rilevanza in termini di responsabilità amministrativa
dell’ente per il reato di accesso abusivo a sistema informatico commesso da suoi soggetti apicali o
sottoposti.
Per quanto concerne il primo caso, infatti, nel (limitato) periodo in cui le due associazioni hanno
“convissuto”, alla diminuzione del volume d’affari dell’una è corrisposto un incremento del volume
d’affari dell’altra. E, rispetto a tale incremento, il contestato accesso abusivo con conseguente
61
Cassazione Penale, Sez. V Sent., 2 dicembre 2020, n. 34296.
62
Cassazione Penale, Sez. V, 1 ottobre 2008, n. 37322.
63
A sua volta reato presupposto, previsto tra i “Delitti contro l’industria e il commercio” ai sensi dell’art. 25-bis1
D.Lgs. 231/2001.
64
Cassazione Penale, Sez. III, 5 ottobre 2010, n. 35731.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 26 -
appropriazione dei dati è stato strumentale, in quanto propedeutico all’acquisizione della passata
clientela.
Allo stesso modo, nel secondo caso sopra menzionato, le due imprese erano già dirette concorrenti e la
condotta incriminata ex art. 615-ter c.p. è stata attuata nell’interesse (e a vantaggio) non solo
dell’imputato-persona fisica, ma anche dell’ente a questi riconducibile.
65
Cassazione Penale, Sez. II, 9 novembre 2007, n. 45207.
66
Cassazione Penale, Sez. V, 9 luglio 2010, n. 36601.
67
Cassazione Penale, Sez. V, 9 gennaio 2016, n. 4059.
68
Cassazione Penale, Sez. V, 31 luglio 2007, n. 31135.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 27 -
Secondo la ricostruzione della Corte di legittimità, l’accesso a tali account da parte dell’amministratore di
sistema può pertanto integrare il reato ex art. 617-quater c.p.
Ebbene, la contestazione di tale reato potrebbe costituire il presupposto della responsabilità 231 della
società di appartenenza dell’amministratore di sistema. Si pensi, in via esemplificativa, a tutti quei
comportamenti che l’amministratore di sistema potrebbe attuare per accedere a informazioni dei
dipendenti su input degli apicali della Società, eventualmente interessati ad ottenere maggiore efficienza
produttiva sfruttando informazioni sensibili acquisite illecitamente.
In tale contesto, sono da tenere in debita considerazione anche le realtà aziendali che, non avendo
nominato un amministratore di sistema interno, si siano rivolte a professionisti esterni per gestire la
propria infrastruttura IT. Questi ultimi potrebbero, in virtù di rapporti personali e/o di business con
competitor e al fine di favorire tali soggetti, sfruttare le proprie capacità e i propri privilegi d’accesso per
ottenere dati riservati sul concorrente (es. informazioni sulla partecipazione a gare di appalto o di
fornitura svolte su base elettronica) 69 ovvero ostacolarne le comunicazioni (es. impedendo la
comunicazione di un’offerta per la partecipazione ad una gara).70 La responsabilità 231 potrebbe in questo
caso ravvisarsi in capo ai competitor in nome e per conto dei quali il professionista esterno agirebbe
illecitamente.
69
Cfr. Linee Guida di Confindustria, appendice “Case study”, cit.
70
Cfr. Linee Guida di Confindustria, appendice “Case study”, cit.
71
Cfr. Linee Guida di Confindustria, appendice “Case study”, cit.
72
Cassazione Penale, Sez. V, 5 marzo 2012, n. 8555.
73
Cassazione Penale, Sez. Unite, 13 dicembre 1996, n. 1282.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 28 -
Nel procedimento, gli imputati rispondevano di vari reati che sarebbero stati commessi nell’ambito di una
complessa operazione economica finalizzata a creare una società parallela a quella per la quale operavano
(che svolgeva attività di commercializzazione di computer e di software di base, nonché di produzione di
programmi applicativi), estromettendo al contempo quest’ultima dal mercato. Costoro fondarono
dunque una newco dimettendosi dalla società di appartenenza e sottraendo dai locali aziendali di
quest’ultima documentazione commerciale societaria e formati sorgente di programmi applicativi, con
cancellazione di tutti i dati concernenti l’impresa stessa memorizzati nell’infrastruttura informatica
aziendale.
Ancora una volta, si evince come la condotta delittuosa avente ad oggetto i sistemi informatici di una
determinata impresa venga commessa allo scopo di assicurare un vantaggio competitivo ad un’altra.
Sulla scorta di quanto sancito dalla giurisprudenza citata, in caso di indagine penale avente ad oggetto
una situazione analoga a quella delle decisioni esaminate sarebbe dunque possibile ipotizzare il
coinvolgimento processuale non solo dei dipendenti infedeli, ma pure, ai sensi dell’art. 24-bis D.Lgs.
231/2001, della società nel cui interesse i dipendenti stessi avrebbero illecitamente agito, danneggiando
i sistemi informatici del competitor. Questo naturalmente nel periodo in cui i dipendenti lo siano al
contempo di entrambe le realtà aziendali, ovvero ricoprano il ruolo di soggetto apicale o sottoposto
(condizione necessaria per la possibile configurabilità di una responsabilità 231 della persona giuridica)
contemporaneamente nelle due società.
In chiusura, è utile segnalare come la richiamata pronuncia delle Sezioni Unite faccia peraltro luce sul
rapporto tra la norma di cui all’art. 635-bis c.p. e la fattispecie di danneggiamento “semplice”: “Sotto il
profilo giuridico si deve ribadire la tesi espressa dal Pretore e dai giudici di appello, secondo la quale la
cancellazione di dati dalla memoria di un computer in modo tale da renderne necessaria la creazione di
nuovi significa rendere inservibile parzialmente, mediante la distruzione di un bene immateriale,
l’elaboratore, cioè un bene mobile, donde la configurabilità del delitto di danneggiamento previsto
dall’art. 635 c.p. Né in contrario avviso può indurre l’analoga fattispecie criminosa nella materia de qua
prevista dall’art. 635 bis c.p., introdotto con l’art. 9 della l. 23.12.1993, n. 547 in materia di criminalità
informatica, poiché la nuova ipotesi di reato, punita più gravemente di quella di cui all’art. 635, ha lo scopo
di rafforzare la tutela penale nella specifica materia per le necessità imposte dalla frequenza dei
comportamenti illeciti nel campo dell’informatica e dei danni che ne derivano agli autori e ai fruitori dei
sistemi di base e applicativi”.
Il danneggiamento punito dall’art. 635-bis c.p. è pertanto una ipotesi criminosa speciale rispetto al
danneggiamento semplice: la condotta consistente nella cancellazione di dati dalla memoria di un
computer, in modo tale da renderne necessaria la creazione di nuovi, prima dell’entrata in vigore dell’art.
635-bis c.p. configurava comunque un illecito penale e, segnatamente, il reato di danneggiamento ai sensi
dell’art. 635 c.p.
74
Salvo quanto si dirà infra sull’art. 25-octies1 D.Lgs. 231/2001.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 29 -
profitto presso nuovi datori di lavoro.75 Né rilevano in questa sede quei comportamenti realizzati a danno
di un ente pubblico ma nell’esclusivo interesse dell’autore, che, in qualità di funzionario dell'Agenzia delle
entrate, accetti una somma di denaro per modificare le situazioni contributive, riducendo il debito del
contribuente.76
Dall’analisi dei precedenti giurisprudenziali può, comunque, evidenziarsi un settore merceologico in cui
alla contestazione del reato in capo alle persone fisiche potrebbe seguire quella a carico della società. Si
tratta, più nel dettaglio, del settore del gaming.
Al riguardo, emerge chiaramente come, nell’ambito del business di imprese che gestiscono attività di
giochi e scommesse, si registrino contestazioni a carico di dipendenti che, al fine di trattenere
indebitamente la quota di imposta che grava sulle giocate, avrebbero alterato il funzionamento degli
hardware e software installati sui device collegati alla rete dell’Agenzia delle dogane e dei Monopoli
(“AAMS”); l’Agenzia registra infatti il numero di scommesse al fine di verificare le vincite e imporre alle
stesse la relativa tassazione.
In una recente sentenza, l’imputato era stato condannato in quanto “ritenuto responsabile dei reati di cui
agli artt. 81 cpv., 640 ter e 648 c.p., per avere acquistato e posto in esercizio due macchinette slot-
machines immatricolate come macchine da gioco ai sensi del comma 7 lett. c) dell'art. 110 T.U.L.P.S. per
le quali, attraverso un telecomando o combinazione di tasti, era possibile modificare il funzionamento in
macchine da gioco elettronico eroganti vincite in denaro, soggette alla diversa disciplina di cui all'art. 110,
comma 6, T.U.L.P.S., in tal modo procurandosi l'ingiusto profitto derivante dall'incasso totalmente in nero
di somme soggette a prelievo erariale unico che l'imputato ometteva di versare all'erario”.77
Nel confermare la condanna per l’imputato,78 la Cassazione ha precisato che “Integra il reato di frode
informatica, previsto dall'art. 640-ter cod. pen., l'introduzione, in apparecchi elettronici per il gioco di
intrattenimento senza vincite, di una seconda scheda, attivabile a distanza, che li abilita all'esercizio del
gioco d'azzardo (cosiddette "slot machine"), trattandosi della attivazione di un diverso programma con
alterazione del funzionamento di un sistema informatico”.79
Nel caso di specie, l’operazione, che comportava un danno per l'AAMS (e, quindi, per un ente pubblico)
era stata attuata dal gestore del device.
Ove però la modifica del funzionamento della macchina fosse effettuata dalla stessa impresa produttrice,
già in sede di sviluppo oppure in una fase successiva, in capo a tale società potrebbe sorgere una
responsabilità amministrativa: la stessa trarrebbe infatti un evidente vantaggio dal reato di frode
informatica, consistente nella maggiore appetibilità sul mercato dei dispositivi ovvero in una eventuale
partecipazione ai profitti illeciti del gestore.
75
Cassazione Penale, Sez. V, 28 aprile 2015, n. 17756.
76
Cassazione Penale, Sez. VI, 17 aprile 2009, n. 16669.
77
Cassazione Penale, Sez. II, 1 dicembre 2016, n. 54715.
78
Più precisamente, la Corte ha annullato la sentenza impugnata dall’imputato limitatamente alla omessa
motivazione sulla richiesta di sanzione sostitutiva, con rinvio ad altra sezione della Corte di Appello per il giudizio
sul punto, rigettando il ricorso nel resto e dichiarando irrevocabile l'affermazione di responsabilità.
79
Per completezza, va segnalato un indirizzo giurisprudenziale contrario, secondo cui i comportamenti esaminati
integrerebbero non già il delitto di frode informatica, bensì quello di truffa aggravata ai danni dello Stato. In tal
senso, si rinvia a Cassazione penale, Sez. VI Sent., 20 giugno 2017, n. 41767: “Integra il reato di truffa aggravata ai
danni dello Stato anziché quello di frode informatica, previsto dall'art.640-ter cod.pen l'inserimento negli
apparecchi elettronici da gioco di una scheda informatica, attivabile a distanza, mediante la quale la quota di
spettanza dell'erario non viene comunicata e, conseguentemente, versata all'amministrazione finanziaria, senza
che ciò comporti alcuna alterazione del sistema informatico o telematico altrui. (In motivazione, la Corte ha
precisato che l'inserimento di una seconda scheda all'interno del medesimo apparecchio da gioco, non incide sul
sistema informativo lecito, bensì funziona autonomamente, condividendo esclusivamente le periferiche di ingresso
ed uscita)”.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 30 -
Per quanto attiene infine al nuovo reato presupposto di frode informatica aggravata dalla realizzazione di
un trasferimento di denaro, di valore monetario o di valuta virtuale, collocato sistematicamente
all’interno dei reati in materia di mezzi di pagamento diversi dai contanti (art. 25-octies1 D.Lgs. 231/2001)
e rilevante anche se commesso a danno di soggetti privati, va sottolineato come non sussistano
precedenti specifici, alla luce della recentissima introduzione dell’aggravante.
Ciononostante, si ritiene utile richiamare in questa sede la giurisprudenza che si è già espressa in passato
in ordine alla frode informatica connessa all’utilizzo di strumenti di pagamento diversi dai contanti (nella
specie: carte di credito) e ha in generale affrontato il tema dell’uso fraudolento di mezzi di pagamento
elettronici.
In particolare, la Suprema Corte ha osservato che “Integra il delitto di frode informatica, e non quello di
indebita utilizzazione di carte di credito, la condotta di colui che, servendosi di una carta di credito
falsificata e di un codice di accesso fraudolentemente captato in precedenza, penetri abusivamente nel
sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi”.80
Allo stesso modo, la Cassazione ha stabilito che “Integra il delitto di frode informatica, e non quello di cui
all'art. 55 n. 9 del D.Lgs. n. 231 del 2007, la condotta di colui che, servendosi di un codice di accesso
fraudolentemente captato, penetri abusivamente nel sistema informatico bancario ed effettui illecite
operazioni di trasferimento fondi, al fine di trarne profitto per sé o per altri. (In motivazione, la S.C. ha
ritenuto decisiva la sussistenza dell'elemento specializzante, costituito dall'utilizzo "fraudolento" del
sistema informatico)”. 81 Nel caso qui affrontato, all’imputato era stato contestato il delitto di frode
informatica per avere utilizzato un conto corrente on-line non più intestato a lui per effettuare una ricarica
telefonica.
Ciò posto, si può rilevare come le condotte analizzate dalle sentenze da ultimo citate abbiano comportato
la realizzazione di “un trasferimento di denaro, di valore monetario o di valuta virtuale”, presupposto di
applicazione della nuova fattispecie aggravata di frode informatica.82
Le stesse condotte, dunque, qualora commesse nell’ambito dell’attività di impresa e a vantaggio dell’ente,
potrebbero oggi assumere rilevanza per l’imputazione all’ente della responsabilità 231 ai sensi dell’art.
25-octies1 del D.Lgs. 231/2001 in relazione al reato di cui all’art. 640-ter c.p.
2.2. Conclusioni: i casi pratici come una possibile “guida” nella costruzione dei
Modelli Organizzativi
A conclusione di questa breve disamina, emerge distintamente come, malgrado a oggi non siano
intervenute decisioni di legittimità per responsabilità amministrativa degli enti in relazione a reati
informatici, la Suprema Corte abbia già affrontato delle vicende in cui pure sarebbero stati astrattamente
riscontrabili i presupposti di applicabilità del D.Lgs. 231/2001.
80
Cassazione penale, Sez. II, 9 maggio 2017, n. 26229. Viceversa, secondo Cassazione penale, Sez. II, 30 ottobre
2019, n. 50395, integra il delitto di cui all'art. 493-ter e non quello previsto dall’art. 640-ter, l’utilizzo indebito - in
assenza di frode – di una tessera bancomat e del relativo codice per effettuare prelievi di denaro.
81
Cassazione penale, Sez. II, 13 ottobre 2015, n. 50140.
82
Giova in questa sede ricordare che, nei casi di specie, potrebbe venire in rilievo anche il nuovo reato di cui all’art.
493-quater c.p., che – sebbene sistematicamente collocato tra i reati di falso – punisce condotte preliminari a
episodi di frode, tra i quali la produzione, importazione, messa a disposizione, ottenimento per sé o per altri di
apparecchiature, dispositivi o programmi informatici costruiti e progettati principalmente per commettere reati
riguardanti strumenti di pagamento diversi dai contanti o specificamente adattati al medesimo scopo: si pensi, ad
es., all’acquisto o allo sviluppo di un software che consente di accedere all’home banking di clienti o fornitori, e
disporre bonifici dai conti correnti.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 31 -
Come vedremo nei successivi paragrafi, tali decisioni e i principi in esse espressi potranno pertanto
guidare le società nella costruzione di modelli di organizzazione e gestione capaci il più possibile di
mitigare il rischio di realizzazione dei reati informatici.
Come già evidenziato nei capitoli precedenti, il D.Lgs. 231/2001 ha subito negli anni importanti modifiche,
con particolare riferimento, per quanto qui di interesse, ai reati informatici (artt. 24, 24-bis, 25 quinquies,
D.Lgs. 231/2001).
Si fornisce qui di seguito una nuova schematizzazione dei summenzionati reati informatici per una più
agevole rappresentazione degli stessi:
FALSI FI CAZ I O N E D I D O CU M EN T I I N FO R M AT I CI
I N ST ALLAZ I O N E D I AP PAR ECCH I AT U R E AT T E AD I N T ER CET T AR E ,
(Ar t . 4 9 1 bis c.p.) I M P ED I R E O I N T ER R O M P ER E CO M U N I CAZ I O N I I N FO R M AT I CH E O
T ELEM AT I CH E
ACCESSO ABU SI V O AD UN SI ST EM A
I N FO R M AT I CO O T ELEM AT I CO (Ar t . 6 1 7 quinquie s c.p.)
Premesso ciò, in ottica di rilevazione ed implementazione del Sistema normativo a mitigazione dei rischi-
reato in ambito informatico, strettamente connessi all’utilizzo degli asset tecnologici (ICT), nonché di
definizione di potenziali od eventuali vulnerabilità del Sistema di Controllo Interno in relazione ai profili di
rischiosità individuabili, seguendo per comodità espositiva l’articolazione delle Linee Guida di
Confindustria, il Modello di Organizzazione Gestione e Controllo83 ai sensi del D.Lgs. 231/2001 deve essere
sviluppato nelle seguenti componenti:
• mappatura dei rischi-reato specifici dell’organizzazione, in base alle caratteristiche del business,
alle dimensioni e articolazione organizzativa, alla storia dell’ente stesso, con particolare
riferimento alle fattispecie di reato di cui all’art. 24-bis, D.Lgs. 231/2001 ritenute rilevanti e
potenzialmente applicabili e alle relative modalità di commissione;
• identificazione dei processi e delle attività sensibili rispetto a tali rischi-reato, dei principi e presidi
di controllo atti a prevenire e contenere i rischi-reato identificati (dalla governance, alla modalità
di attribuzione di deleghe e poteri, ai diversi livelli di controllo interno, ai singoli presidi di
controllo nei vari processi aziendali), in relazione ai reati di cui all’art. 24-bis del D.Lgs. 231/2001;
• risk-crime self assessment, finalizzato ad analizzare e valutare l’efficacia e l’efficienza dei protocolli
generali e specifici di controllo a presidio del rischio di commissione dei reati informatici, nonché
83
Di seguito anche solo “Modello” o “MOG”.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 33 -
ad individuare possibili interventi di miglioramento del Sistema di Controllo Interno, al fine di
prevenire la configurazione delle condotte illecite e la commissione dei suddetti reati.
Al contempo, nell’attività di implementazione del predetto sistema, occorrerà considerare anche le
disposizioni previste dall’ordinamento per la salvaguardia di altri interessi parimenti degni di tutela, quali
quelle in materia di rispetto dei diritti dei lavoratori e della privacy sui luoghi di lavoro. Va, ad esempio,
ricordato che l’impiego di strumenti informatici che consentano all’impresa di controllare i propri
dipendenti incontra i limiti previsti dall’art. 4 dello Statuto dei Lavoratori.84
84
L. 20 maggio 1970, n. 300, il cui art. 4, comma 1 recita: “Gli impianti audiovisivi e gli altri strumenti dai quali
derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente
per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e
possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle
rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse
province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali
comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di
cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale
del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi
territoriali, della sede centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono
definitivi”. A tal proposito, giova segnalare che la giurisprudenza di legittimità ha a più riprese evidenziato i
presupposti di legittimità di tali controlli: “È legittimo il controllo c.d. difensivo del datore di lavoro sulle strutture
informatiche aziendali in uso al lavoratore, a condizione che esso sia occasionato dalla necessità indifferibile di
accertare lo stato dei fatti a fronte del sospetto di un comportamento illecito e che detto controllo prescinda dalla
pura e semplice sorveglianza sull'esecuzione della prestazione lavorativa essendo, invece, diretto ad accertare la
perpetrazione di eventuali comportamenti illeciti” (cfr. inter alia, Cass. civ. Sez. lavoro, 22 settembre 2021, n.
25732)
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 34 -
Analogamente, potrà essere effettuata una mappatura specifica dei Corporate Risk Crime, avvalendosi di
strumenti che aiutino il management ad avere una comprensione chiara ed immediata del profilo di
rischio-reato specifico della propria organizzazione.
Si fornisce nel seguito un’esemplificazione di una mappatura specifica dei Corporate Risk Crime per
identificare, catalogare e classificare in modo strutturato ed efficace, i rischi-reato di una organizzazione
d’impresa complessa:
Art. 24 bis
Delitti informatici e
trattamento illecito dei
dati
Detenzione, diffusione,
installazione abusiva di
apparecchiature/codici/altri
mezzi atti all'accesso a sistemi
informatici/telematici
(art. 615 quater c.p.)
Detenzione/diffusione/
installazione abusiva di
apparecchi/dispositivi/programmi
per danneggiare/interrompere
sistema informatico/telematico
(art. 615 quinquies c.p.)
Intercettazione, impedimento o
interruzione illecita di
comunicazioni informatiche o
telematiche
(art. 617 quater c.p.)
Detenzione, diffusione, inst.
abusiva di apparecchi/altri mezzi
atti ad intercettare/impedire/
interrompere comunicazioni
informatiche/telematiche (art.
617 quinquies c.p.)
Danneggiamento di informazioni,
dati e programmi informatici
(art. 635 bis c.p.)
Danneggiamento di informazioni,
dati e programmi informatici
utilizzati da Stato/ente pubblico o
comunque di pubblica utilità
(art. 635 ter c.p.)
Danneggiamento di sistemi
informatici o telematici
(art. 635 quater c.p.)
Danneggiamento di sistemi
informatici o telematici di
pubblica utilità
(art. 635 quinquies c.p.)
Identificati e mappati in modo strutturato e completo i reati applicabili all’organizzazione in base alle
caratteristiche del business, alle dimensioni e articolazione organizzativa, si rende necessario effettuare
una più approfondita analisi dei rischi-reato (Risk Assessment 231), così come richiesto dal comma 2, lett.
a), dell’art. 6 del Decreto.
Anche in questo caso, come già indicato in precedenza in sede di mappatura, è possibile fare ricorso alle
metodologie e agli strumenti aziendalistico-manageriali sviluppati nell’ambito dell’Enterprise Risk
Management, tenendo tuttavia in considerazione le specificità proprie di un Risk Assessment 231 sui
rischi-reato rispetto alle altre tipologie di valutazione dei rischi di business.
In generale, per rischio si intende qualsiasi variabile o fattore che nell’ambito dell’impresa, singolarmente
o in correlazione con altre variabili, possa incidere negativamente (o anche positivamente) sul
raggiungimento degli obiettivi dell’organizzazione stessa.
Ogni sistema di gestione dei rischi parte necessariamente dalla individuazione degli obiettivi attesi,
rispetto ai quali, per l’appunto, i rischi possono rappresentare delle evenienze avverse o addirittura
favorevoli (c.d. “rischio-opportunità”).
È importante quindi chiarire e definire correttamente la finalità specifica del “Risk Assessment 231”,
rispetto ad altre valutazioni di rischio orientate ad obiettivi di business di diversa natura.
In tal senso, infatti, non solo cambiano gli obiettivi, ma anche le modalità di misurazione, le soglie di
accettabilità, i concetti classici di probabilità e impatto, in funzione della diversa finalità del Risk
Assessment 231.
Di fatto, è necessario cambiare l’intera prospettiva, il framework stesso di riferimento alla base
dell’assessment 231. In effetti, nel caso dei rischi-reato, gli obiettivi sottesi travalicano il perimetro proprio
dell’impresa e della propria autodeterminazione, e dovranno necessariamente tenere conto degli obiettivi
A. Processo sensibile: Gestione dei Sistemi Informativi e delle reti informatiche aziendali
Impatto
Reato/Processo Attività sensibili
✓ Gestione delle informazioni sensibili (di business e/o personali)
✓ Gestione e protezione delle reti
✓ Gestione degli output di sistema e dei dispositivi di memorizzazione (es. USB, CD)
✓ Gestione della sicurezza fisica (incluse sicurezza cablaggi, dispositivi di rete, ecc.)
Protocolli di
controllo
✓ Adozione di regolamenti e procedure aventi ad oggetto il corretto utilizzo delle risorse informatiche aziendali, la sicurezza
informatica/telematica, la protezione dei dati sensibili
✓ Predisposizione di strumenti di protezione volti a garantire la sicurezza nello scambio di informazioni sensibili, per l’azienda e per gli
individui
✓ Adozione e implementazione di procedure per la classificazione ed il trattamento delle informazioni; per l’utilizzo di sistemi crittografici
in relazione alla trasmissione in rete di documenti informatici; per i controlli tesi a rintracciare eventuali falle o debolezze dei sistemi (es.
vulnerability assessment e penetration test, finalizzati a valutare la tenuta del sistema a fronte di eventuali attacchi esterni)
✓ Identificazione di ruoli e responsabilità del trattamento dei dati e delle informazioni, con particolare attenzione, ad esempio, ai rapporti
con provider esterni e relative clausole contrattuali con riferimento alla gestione delle misure di sicurezza, al corretto funzionamento dei
sistemi, alla protezione da software pericolosi
✓ Definizione di formali requisiti di accesso e autenticazione a sistema, dei criteri e delle modalità di creazione ed utilizzo delle password, di
procedure per la concessione o la revoca degli accessi ai sistemi informativi;
✓ Tracciatura e registrazione delle attività eseguite su sistemi, applicazioni e reti, potenzialmente lesive per la sicurezza;
✓ Verifica periodica delle modalità di accesso ai sistemi; dei log di registrazione delle attività sui sistemi, delle eccezioni e degli eventi
concernenti la sicurezza
✓ Definizione e regolamentazione delle attività di gestione e manutenzione dei sistemi
✓ Adozione di meccanismi di protezione da software pericolosi e procedure di controllo della installazione di software sui sistemi operativi
✓ Previsione di ambienti dedicati per i sistemi “sensibili” sia per il tipo di dati contenuti sia per l’impatto sul business
✓ Allestimento di misure di sicurezza per apparecchiature fuori sede, che prendano in considerazione i rischi derivanti dall’operare al di
fuori del perimetro dell’organizzazione
✓ Previsione di controlli sistematici su: rete aziendale e informazioni che vi transitano, instradamento (routing) della rete, installazione di
software sui sistemi operativi
✓ …
Impatto
Reato/Processo Attività sensibili
Protocolli di
controllo
✓ Adozione di misure di protezione dell’integrità delle informazioni messe a disposizione su un sistema pubblico
per prevenire modifiche non autorizzate
Impatto
Reato/Processo Attività sensibili
✓ Gestione degli output di sistema e dei dispositivi di memorizzazione (es. USB, CD)
Protocolli di
controllo
✓ Adozione e implementazione di procedure per garantire che l’utilizzo di materiali e/o software eventualmente coperti
da diritti di proprietà intellettuale e/o copyright sia conforme alle disposizioni di legge e contrattuali
✓ Controlli di individuazione, prevenzione e protezione da software dannosi (virus) nonché di procedure per la
sensibilizzazione degli utenti
✓ …
D. Processo sensibile: Gestione dei rapporti con terze parti – Approvvigionamento di beni, lavori e
servizi
Impatto
Reato/Processo Attività sensibili
✓ Gestione dei sistemi di autenticazione e modifica dei dati contenuti nelle banche
dati elettroniche, nei sistemi gestionali e di produzione (anche legati ad
approvvigionamento di beni e/o servizi)
Protocolli di
controllo
✓ Definizione di ruoli e responsabilità nella gestione delle modalità di accesso del personale dipendente (user) ai sistemi
informativi aziendali (banche dati, sistemi gestionali e di produzione)
✓ Definizione di meccanismi di monitoraggio del traffico e di tracciatura degli eventi di sicurezza sulle reti, da parte degli
utenti e degli amministratori di sistema, nel rispetto delle segregazioni dei compiti e dei ruoli assegnati
✓ Predisposizione di misure volte alla protezione dei documenti elettronici (es. firma digitale)
✓ Definizione dei requisiti di autenticazione ai sistemi per l’accesso ai dati e per l’assegnazione dell’accesso remoto agli
stessi da parte di soggetti terzi quali consulenti e fornitori nelle operazioni di approvvigionamento di beni e /o servizi
Protocolli di
controllo
✓ Definizione e attuazione di un processo di autorizzazione per le strutture di elaborazione delle informazioni e di una
ottimale Segregation of Duties in relazione alla gestione dei cicli di fatturazione (attiva / passiva)
✓ Definizione di procedure per la tracciabilità e il controllo degli accessi, nonché delle attività critiche svolte tramite i
sistemi informatici aziendali (tracciamento log a sistema)
✓ …
F. Processo sensibile: Gestione delle Risorse Umane
Impatto
Reato/Processo Attività sensibili
Protocolli di
controllo
✓ Previsione di strumenti normativi che dispongano l’adozione di controlli al fine di prevenire accessi non autorizzati,
danni e interferenze ai locali e ai beni in essi contenuti tramite la messa in sicurezza delle aree / postazioni di lavoro e
delle apparecchiature da utilizzare
✓ Definizione di procedure che prevedano la rimozione dei diritti di accesso al termine del rapporto di lavoro
✓ Inclusione negli accordi con terze parti e nei contratti di lavoro di clausole di protezione e non divulgazione delle
informazioni
✓ …
85
Ad esempio: Regolamento UE n. 679/2016, D.Lgs. 196/2003, provvedimenti del Garante Privacy, regolamenti e
procedure sugli abusi di mercato, artt. 4 e 8 della legge n. 300 del 1970, ecc…
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 45 -
Capitolo 4 - L’incremento dei rischi in tema cybersecurity nel
contesto pandemico
4.1. Premessa
Al fine di individuare la funzione che un Modello 231 può assumere nel quadro della prevenzione dei
rischi-reato informatici all’interno del contesto pandemico, è anzitutto necessario riflettere sul
cambiamento radicale che la pandemia ha portato nella gestione dell’attività di risk management da parte
delle aziende.
Nel contesto pre-pandemico l’attività di prevenzione delle condotte criminose, realizzata attraverso il
Modello 231 e le misure di sicurezza da esso previste, si esplicava all’interno del perimetro fisico
dell’azienda stessa, mediante la codificazione di appositi flussi informativi sulla gestione degli strumenti
informatici agli OdV,86 nonché tramite procedure di segnalazione e regole a tutela dei segnalanti (c.d.
whistleblower). A causa degli effetti del Coronavirus, gran parte dell’attenzione delle imprese si è spostata
sulla prosecuzione e gestione delle medesime attività mediante il lavoro da remoto (c.d. remote working).
Il lavoro da remoto, se da un lato ha consentito alle aziende di continuare la propria attività preservando
la salute dei propri dipendenti e collaboratori dai rischi del contagio da COVID-19, dall’altro ha (o avrebbe)
dovuto necessariamente accompagnarsi a misure di sicurezza rafforzate, per garantire la sicurezza dei
sistemi e delle informazioni trattate.
I dipendenti hanno dovuto relazionarsi con il lavoro a distanza e con nuovi strumenti per la condivisione
di documenti che, se da un lato potrebbero non essere stati correttamente testati e messi in sicurezza
dalle organizzazioni, alla luce sia dei profili di rischio cyber tout-court sia delle possibili condotte di reato
presupposto 231, dall’altro non sono mai stati così fondamentali per lo svolgimento di tante attività che
in passato venivano svolte (quasi) esclusivamente in presenza.
In periodo pre-pandemico, le misure tecniche, operative e organizzative implementate dalle società per
mitigare il rischio di reati rilevanti ai sensi del D.Lgs. 231/2001 potevano primariamente concentrarsi sulle
infrastrutture IT rientranti nel perimetro fisico dell’azienda; oggi le società hanno dovuto concentrare i
propri sforzi di mitigazione e contenimento del rischio reato anche (e soprattutto) sulle condotte che
possono colpire il perimetro logico dell’azienda, in quanto realizzabili anche in situazione di remote
working. Particolare importanza in questo contesto è assunta dai c.d. reati informatici contemplati
dall’art. 24-bis del Decreto 231 sin dal 200887 e che oggi assumono rilevanza ancora maggiore a fronte
del loro aumento esponenziale negli anni recenti e, in particolar modo, nel periodo pandemico.
Come vedremo meglio nel prosieguo (v. infra, par. 4.4), le minacce cyber sono divenute strumenti
privilegiati per la commissione di reati informatici attraverso condotte criminose di tipo nuovo. Nella
stesura o nell’aggiornamento dei Modelli 231, le aziende sono pertanto chiamate ad effettuare un
esercizio di prevenzione sensibilmente diverso rispetto al passato, in quanto riferito a queste nuove
tipologie di condotte.
86
Sul punto, si rimanda al Cap. 6.
87Come anticipato nei capitoli precedenti, si tratta, in particolare, dei delitti di cui agli artt. 491-bis, 615-ter, 615-
quater, 615-quinquies, 617-quater, 635-bis, 635-ter, 635-quater e 640-quinquies del codice penale.
88
Cfr. ENISA Threat Landscape, 2021
89
Un malware può essere sinteticamente definito come una stringa di codice che viene utilizzata per arrecare
danno al sistema colpito, attraverso il furto di dati, il sorpasso di controlli di accesso o la compromissione del
sistema stesso o di alcune sue componenti.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 47 -
scala, colpendo più bersagli in modo coordinato (in tal caso, si parla di Distributed Denial
of Service).
2. Social Engineering
Come anticipato in precedenza, gli attacchi di Social Engineering sono aumentati
esponenzialmente durante il periodo pandemico soprattutto grazie alla loro caratteristica
principale, ovvero il fattore psicologico su cui fa perno l‘attaccante al fine di ottenere informazioni
da parte della vittima dell’attacco. All’interno di questa categoria ritroviamo diverse tipologie di
attacco:
2.1. Baiting: le condotte di baiting sfruttano curiosità e avidità della vittima, in quanto sono
raggiri volti a far credere che si possa ottenere una ricompensa di qualche tipo rivelando
determinate informazioni.
2.2. Pretexting: le condotte di pretexting sfruttano un diversivo che ha lo scopo di indurre
la vittima a divulgare informazioni credendo di trovarsi in una situazione nella quale è
doveroso divulgarle;
2.3. Phishing: il phishing è forse la tipologia di attacco cyber più diffuso, in quanto suo
bersaglio possono essere anche persone comuni, non solo grandi aziende o soggetti in
possesso di informazioni sensibili. Esso è una forma di attività fraudolenta volta a
sottrarre informazioni con l’inganno, attraverso l’invio di e-mail o altre forme di
comunicazione da parte dell’attaccante, che finge di essere un'altra persona o
un’organizzazione. Lo scopo è convincere il destinatario a eseguire quello che viene
richiesto, ad esempio, nella e-mail, che sia inviare determinate informazioni o
semplicemente cliccare su un link o un file allegati ad essa, attivando l’installazione di
malware. Le condotte di phishing possono assumere diverse forme e avere diversi
obiettivi, come persone appartenenti al top management dell’organizzazione (in questo
caso si parla di whaling), e possono essere effettuati anche mediante una vera e propria
telefonata (in tal caso di parla di vishing).
3. Human Factor
Il fattore umano è forse la componente principale della sicurezza informatica, in particolare con
riferimento alla c.d. internal threat, ovvero quelle minacce che derivano da coloro che hanno
accesso diretto alle informazioni rappresentanti il potenziale oggetto di un attacco.
Non a caso uno dei principali mantra in tema di cybersecurity è che “non esiste una soluzione
tecnica, controllo o contromisura che possa rendere un sistema informatico più sicuro rispetto
al comportamento e ai processi messi in atto dagli attori di quel sistema”.
Sul punto è necessario precisare che tali minacce non derivano affatto da un atteggiamento ostile
dei dipendenti, al contrario sono causate principalmente da mancanza di consapevolezza
combinata con policy e procedure di sicurezza mal progettate. Come vedremo, proprio questo
punto rappresenta una potenziale area dove insistere, nell’ambito di un Modello 231, nella
prevenzione di reati informatici commessi mediante minacce cyber.
4.5. Gli strumenti a disposizione delle aziende per adattare il Modello 231 alle
esigenze del panorama della cybersecurity
A questo punto è lecito domandarsi quali siano gli strumenti a disposizione delle aziende per raggiungere
questo standard di prevenzione.
È necessario precisare che non esiste una formula predefinita (né predefinibile) per raggiungere un livello
di protezione assoluta che possa definitivamente prevenire la realizzazione di reati presupposto mediante
minacce cyber. Tuttavia, le aziende - come i governi91 e le organizzazioni internazionali - possono avvalersi
di diverse metodologie e best practice volte specificatamente a creare un sistema di prevenzione e
protezione in ambito cybersecurity, in modo da costruire una solida cybersecurity awareness. I presidi
sviluppati e applicati alla luce di tali best practice potranno poi essere valorizzati nel Modello 231.
Tra i possibili fattori funzionali al raggiungimento di questo obiettivo vi sono:
1. Istruzione e Formazione: fare in modo che la formazione sulla sicurezza sia parte del processo
di onboarding di un'organizzazione, legare i requisiti di assunzione o le prestazioni alla
consapevolezza degli standard di sicurezza richiesti dall’organizzazione;
2. Security Awareness Program: realizzare un vero e proprio programma di security awareness
che tenga in considerazione:
i. l’ambiente di lavoro dell’organizzazione;
ii. il livello delle possibili minacce cui l’organizzazione è esposta;
iii. le esigenze di protezione dei dati trattati dall’organizzazione.
Nella stesura di questo tipo di programmi è indispensabile tenere a mente che le persone
sono la prima linea difensiva contro le minacce cyber. Le persone stesse devono essere al
centro della costruzione di un perimetro di sicurezza efficace ed efficiente. Ogni membro
dell’organizzazione deve essere a conoscenza delle policy in vigore, dei loro cambiamenti
90
Crf. Cap. 1.
91
Per le best practice di riferimento adottate dal Governo italiano, nell’ambito della costruzione del Perimetro
Nazionale di Sicurezza Cibernetica, si vedano anche il documento “Strategia Nazionale di Cybersicurezza 2022-
2026” dell’Agenzia per la Cybersicurezza Nazionale, approvato il 18 maggio 2022 nonché il Secondo Protocollo
Addizionale alla Convenzione di Budapest sulla Criminalità informatica, approvato in data 12 maggio 2022, che
mira a rafforzare ulteriormente la cooperazione in materia di criminalità informatica e la raccolta di prove in forma
elettronica di qualsiasi reato ai fini di indagini penali specifiche mediante strumenti aggiuntivi di assistenza
reciproca più efficiente e altre forme di cooperazione tra autorità competenti, fornitori di servizi e altri soggetti in
possesso delle informazioni pertinenti.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 49 -
eventuali e di cosa comporta la loro violazione. È necessario inoltre rendere il personale
edotto della dedizione dei soggetti in posizione apicale (il c.d. top management
dell’organizzazione) in questo tipo di programmi, nonché dell’importanza che viene loro
attribuita dall’azienda.
3. Politiche: una buona security policy illustra gli obiettivi, le regole, i comportamenti e i requisiti
cui il sistema di sicurezza e le relative componenti devono conformarsi. Essa assolve alle
seguenti esigenze:
i. dimostrare l’impegno dell’organizzazione nel raggiungimento di uno standard di
cybersecurity accettabile;
ii. formalizzare regole di comportamento;
iii. stabilire le conseguenze sanzionatorie di eventuali violazioni delle disposizioni;
iv. sancire principi di gestione e supporto del personale addetto alla cybersecurity.
4. Costante processo di risk management: identificare e censire tutte le vulnerabilità
riscontrate nel sistema che possono essere sfruttate dagli attaccanti al fine di realizzare
condotte criminose, i rischi correlati e i relativi owner, nonché le relative azioni di mitigazione
e riduzione di tali rischi.
Le organizzazioni possono inoltre avvalersi di standard e linee guida riconosciute a livello internazionale
che codificano i principi di cyberseucurity maggiormente noti. Tra queste ricordiamo:
i. ISO 27001: standard per la realizzazione di un framework di sicurezza delle
informazioni, elaborato dal Comitato ISO;
ii. National Cybersecurity Workforce Framework: elaborato dal NIST (National Institute
of Standards and Technologies statunitense);
iii. CIS Critical Security Controls: elaborato dal Center for Internet Security.
4.6. Conclusioni
Quelli riportati rappresentano solo alcuni degli strumenti a disposizione delle aziende al fine di
implementare un Modello 231 maggiormente efficace dal punto di vista della previsione delle condotte
di reato realizzate mediante minacce cyber.
Il panorama delle minacce cyber, di cui quelle descritte rappresentano solo una parte, non ha comportato
un ampliamento del catalogo dei reati presupposto 231 con nuove fattispecie, ma l’aumento esponenziale
di tali minacce durante il periodo pandemico ha comunque determinato la presa di coscienza di un mondo
“sommerso”: le nuove modalità di commissione di reati già conosciuti necessitano pertanto di un’attività
di prevenzione specifica, in gran parte sconosciuta (o non sufficientemente esplorata) fino ad oggi.
• anche l’OdV, in base a quanto obbligatoriamente previsto nel MOG (ai sensi dell’art. 6, comma 2,
lettera d) del D.Lgs. 231/01), deve essere sempre informato, vista la sua funzione di vigilanza
sull’osservanza del modello stesso.
È doveroso mettere in evidenza che, nello svolgimento di tali funzioni, entrambe le figure sono tenute al
dovere di riservatezza. Tale vincolo è espressamente previsto nel GDPR e nel D.Lgs. 231/01. Più in
dettaglio, l’art. 38, paragrafo 5, GDPR prescrive che “Il responsabile della protezione dei dati è tenuto al
segreto o alla riservatezza in merito all'adempimento dei propri compiti, in conformità del diritto
dell’Unione o degli Stati membri”; in base all’art. 6, comma 2-bis, del D.Lgs. 231/01, i canali di trasmissione
delle segnalazioni all’OdV devono “garantire la riservatezza dell’identità del segnalante nelle attività di
gestione della segnalazione”.
L’OdV, nell’ambito della propria attività, tratterà numerose informazioni, inclusi anche dati personali,
anche di categoria particolare. Ciò posto, ci si è lungamente interrogati circa la qualificazione soggettiva
Se nei capitoli precedenti si sono affrontate le complessità del risk assessment dei reati informatici e della
conseguente costruzione di un Modello 231 quanto più possibile idoneo a prevenirne la commissione
nell’interesse e/o a vantaggio dell’ente, va in conclusione accennato al ruolo che deve essere svolto
dall’organismo di vigilanza (di seguito anche solo “Organismo” o “OdV”) nominato.
Giova ricordare infatti che uno dei requisiti per poter beneficiare della condizione esimente prevista
dall’art. 6 D.Lgs. 231/2001 è rappresentato dall’efficace attuazione del Modello e dalla nomina e
operatività di un organismo di vigilanza dotato “di autonomi poteri di iniziativa e di controllo”.
L’attività di monitoraggio dell’OdV in relazione ai reati informatici deve tuttavia tener conto delle
peculiarità dei mezzi tecnologici con cui le condotte dagli stessi criminalizzate vengono realizzate. Se
infatti, per alcune fattispecie di reato presupposto, le verifiche dell’OdV possono essere di tipo
prettamente documentale e prescindere dalla cooperazione dell’ente sottoposto a vigilanza,92 per i reati
informatici, al contrario, va sottolineata l’assoluta rilevanza della collaborazione dell’ente nelle attività
dell’Organismo attraverso:
• la predisposizione e il tempestivo invio all’OdV di flussi informativi specifici e
• l’interlocuzione con le funzioni interne preposte alla gestione dell’infrastruttura tecnologica
aziendale ovvero con consulenti/fornitori esterni.93
92
Si pensi, a titolo meramente esemplificativo e non esaustivo, alle analisi sulle note spese o sugli acquisti di beni e
servizi, che potrebbero richiedere la sola acquisizione del relativo campione da parte dell’OdV, il quale potrebbe
poi scegliere di interfacciarsi con la società solo a verifiche ultimate.
93
Per quelle realtà meno strutturate i cui sistemi IT siano gestiti in outsourcing.
94
I flussi informativi, lo si ricorda, sono flussi di informazione, canalizzati da opportuni processi di comunicazione
aziendale, che costituiscono una componente essenziale per consentire all’OdV di avere contezza dello stato di
applicazione del Modello 231 e, quindi, la prevenzione dei reati. L’Organismo di Vigilanza, grazie ai flussi
informativi, viene a conoscenza – ad evento ovvero con una cadenza predeterminata (es. annuale, semestrale,
trimestrale, mensile) – delle vicende che riguardano l’ente sotto profili rilevanti in termini di compliance 231.
Secondo le Linee Guida di Confindustria, essi sono uno dei pilastri su cui si fonda il sistema di gestione del rischio ai
sensi del D.Lgs. 231/2001. Si legge in tale documento che i flussi informativi “devono essere accurati, completi,
tempestivi e costanti, in modo da garantire la circolazione delle informazioni a tutti i livelli aziendali (con la
doverosa programmazione di un piano di formazione, comunicazione e informazione volto a diffondere e
consolidare la cultura della trasparenza e dell’integrità, nonché la comprensione delle fattispecie di reati tributari,
con esemplificazioni delle concrete condotte idonee a generarle)”.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 57 -
funzione IT, si potrà logicamente attribuire tale compito al direttore di questa funzione o a un suo riporto;
per realtà meno strutturate, invece, andrà di volta in volta stabilito quale sia il soggetto responsabile di
tale adempimento.
Ciò posto, uno dei flussi che si riscontrano nella maggioranza delle realtà aziendali è rappresentato
dall’invio all’OdV di regolamenti e policy connessi alla gestione dei sistemi informativi, ogni volta che
questi documenti siano predisposti ex novo o aggiornati dall’ente.
Inoltre, alla luce della preminenza, tra i reati informatici, dell’accesso abusivo a un sistema informatico –
che, in virtù delle sue modalità di realizzazione95 può costituire un delitto preliminare alla commissione di
altri delitti informatici96 – uno dei flussi basici che risulta opportuno istituire e che regolarmente viene
richiesto dall’OdV alle Funzioni aziendali incaricate riguarda proprio i potenziali accessi abusivi. Più
specificamente, è best practice riconosciuta che l’organismo di vigilanza richieda l’invio di un report su
violazioni (anche sospette) rispetto ai regolamenti e policy in materia di uso delle risorse informatiche
aziendali da parte di dipendenti, dirigenti e componenti degli organi sociali,97 da cui si evincano accessi
(ovvero tentativi di accesso) non autorizzati ai sistemi interni o di terzi, quali P.A., fornitori, clienti, partner
commerciali.
In maniera speculare e nell’ottica dello sviluppo di un sistema di compliance integrato 231 e data
protection, potrebbe essere valutata l’implementazione di un flusso che ricomprenda anche accessi
(ovvero tentativi di accesso) non autorizzati provenienti da soggetti esterni all’ente.
L’invio di apposita comunicazione sulle violazioni del sistema informatico (proprio o di terzi) è tra i più
ricorrenti esempi di flussi informativi sull’argomento che vengono proposti nella prassi. Se ne trova
conferma anche all’esito di una rapida disamina dei report sui flussi di comunicazione all’OdV pubblicati
dalle società a partecipazione pubblica (in conformità alla normativa sugli obblighi di trasparenza) ovvero
da società private che li allegano alla Parte Generale del Modello, a sua volta resa disponibile sul sito
internet aziendale. Qui di seguito si riporta un prospetto riassuntivo:
Ente Flusso
Società pubblica operante Elenco delle principali fattispecie di violazioni, realizzate o anche solo
nel settore della tentate ovvero presunte tali, relative a:
costruzione e gestione di
• introduzione in azienda di software non legale o punibile ai
infrastrutture viarie
sensi delle legislazioni sul diritto d’autore;
• attacchi informatici o comportamenti non adeguati,
provenienti dall’esterno (Internet) o dall’interno del network
aziendale, finalizzati a inibire parzialmente o completamente il
servizio informatico ovvero finalizzati allo sfruttamento delle
risorse informatiche per il compimento di reati informatici.
Società pubblica operante • Report periodico su eventuali incidenti o eventi di security IT;
nel settore gestione dei
• comunicazione di avvenuta adozione e aggiornamento del
tributi locali
Documento Programmatico sulla Sicurezza (ex art. 19 del
Disciplinare Tecnico, Allegato B al D. Lgs. 196/2003); 98
95
Per le quali si rimanda al precedente Cap. 1.
96
Si pensi, ad esempio, all’accesso abusivo al sistema informatico di una P.A., preordinato all’alterazione o
cancellazione di dati o documenti in precedenza inviati dalla Società.
97
Come le procedure implementate nell’ambito dei sistemi di gestione della security e della sicurezza delle
informazioni (es. NIST, ISO 27001, ecc.) di cui si è trattato nel precedente Cap. 3.
98
Si ricorda che l’obbligo di predisposizione del Documento Programmatico sulla Sicurezza (c.d. “DPS”) ai sensi del
D.Lgs. 196/2003, allegato B, capo secondo art. 34, comma 1 lettera g è stato abrogato dal D.Lgs. 101/2018.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 58 -
• attestazione dell’avvenuta adozione delle misure minime di
sicurezza di cui al D. Lgs. 196/2003;
• invio della Relazione accompagnatoria al bilancio, nella quale
si dichiara l’avvenuta predisposizione, aggiornamento e
adozione del Documento Programmatico sulla Sicurezza (ex
art. 19 del Disciplinare Tecnico, Allegato B al D. Lgs. 196/2003).
Associazione che opera • Ogni violazione del Documento Programmatico per la
nel settore turistico Sicurezza;
• ogni violazione del Regolamento Aziendale per l’utilizzo delle
postazioni di Informatica individuale;
• Eventuali incidenti di sicurezza (anche concernenti attacchi al
sistema informatico e telematico da parte di hacker esterni).
Consorzio intercomunale • Anomalie nella gestione di sistemi informatici.
che opera nel settore dei
servizi igienici ambientali
Società pubblica che si • Eventuali anomalie riscontrate nel monitoraggio dei sistemi
occupa di vendita di gas informativi da cui si possa desumere un uso improprio o
naturale, della scorretto degli strumenti informatici.
commercializzazione di
energia elettrica e dei
relativi servizi aggiuntivi
Multinazionale operante Questionario comprendente le seguenti domande per il dipartimento
nel settore Information Technologies:
dell’elettronica e
• Sono intervenute variazioni della Mappa degli Amministratori
dell’energia
di Sistema nominati in azienda?
• Sono emerse eventuali criticità sull’operato degli
Amministratori di Sistema?
• Sono intervenuti eventuali incidenti di sicurezza fisica, logica,
organizzativa e/o cali di efficienza della sicurezza del sistema
informatico IS/IT e/o che possano potenzialmente causare
accessi non autorizzati alle risorse del sistema stesso
(verificatisi in azienda e/o causati dal personale aziendale)? È
a conoscenza di eventuali criticità/contestazioni/anomalie/
procedimenti legali riguardanti l’ambito IT/IS?
• È a conoscenza di eventuali contestazioni/procedimenti nei
confronti dei fornitori di servizi informatici IT/IS?
Come emerge dalla breve comparazione sopra proposta, si riscontra un nucleo minimo di flussi sui sistemi
IT – e sulla possibile commissione di condotte che possano astrattamente integrare reati informatici – che
è comune a molte società.
Altri flussi potranno essere individuati sulla base delle prerogative del business dell’ente, nonché del
Modello 231 da questo adottato e dei presidi di controllo per la prevenzione dei reati informatici che il
Modello stesso reca.
99
Che potrebbe essere trasmesso con cadenza periodica.
100
Oltre che consentire all’OdV l’acquisizione di informazioni utili anche al fine di monitorare le attività sensibili al
rischio di commissione dei Delitti in materia di violazione del diritto d’autore ex art. 25-novies, D.Lgs. n. 231/2001,
introdotti dalla L. n. 99/2009, quali, ad esempio, quelli di cui agli artt. 171 e 171-bis L. n. 633/1941.
101
Es. formazione su salute e sicurezza sui luoghi di lavoro, sui rapporti con la Pubblica Amministrazione, ecc..
102
Cfr. Linee Guida di Confindustria del 25 giugno 2021.
103
Si rinvia, sul punto, al Cap. 3.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 60 -
• attività di back-up e di disaster recovery;
• controlli di cybersecurity.
Già dall’analisi di tale perimetro (minimo) di verifica, si evince chiaramente quanto possa risultare
articolato e complesso un controllo sul medesimo da parte di un organismo che, sebbene spesso costituito
in forma collegiale, potrebbe non annoverare al proprio interno uno o più componenti muniti di expertise
specifica in materia IT.
Alla luce della complessità dell’esecuzione di tali controlli, è dunque opportuno che l’OdV sia coadiuvato
dalle funzioni aziendali coinvolte nelle verifiche sulle attività sensibili e/o nella gestione dell’infrastruttura
informatica. Ci si riferisce, più in dettaglio, alla funzione Internal Audit e alla funzione IT/ICT (ovvero, nel
caso in cui tale funzione non sia presente, all’eventuale outsourcer incaricato).
Per quel che concerne in primo luogo i rapporti con l’Internal Auditor, va osservato come i compiti
dell’OdV sono spesso paralleli a quelli di tale funzione: è prassi diffusa, nella pianificazione delle attività
di monitoraggio dell’Internal Auditor, includere i processi e le attività a rischio monitorate dall’OdV,
nell’ottica di un generale e necessario coordinamento tra le due figure di controllo. E proprio la gestione
dell’infrastruttura informatica interna potrebbe essere un processo incluso nel piano delle verifiche
dell’Internal Auditor. L’OdV potrebbe dunque partecipare a tale monitoraggio, ovvero prendere atto degli
esiti del medesimo e approfondire soltanto gli eventuali aspetti di interesse.
A riguardo, va ricordato che l’attività di verifica sui sistemi IT da parte dell’Internal Auditor è sancita
espressamente, perlomeno per le società quotate, dal Codice di Autodisciplina emanato dal Comitato di
Corporate Governance nelle Società Quotate di Borsa Italiana: “Il responsabile della funzione di internal
audit: “[…] e) verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi inclusi i sistemi di
rilevazione contabile”.104
Per le società che abbiano istituito una funzione Internal Audit, pertanto, l’OdV potrà beneficiare di
quest’ultima, il cui intervento andrà certamente ampliato dalla verifica della mera “affidabilità dei sistemi
informativi” all’applicazione dei presidi di controllo individuati dal Modello 231 per prevenire delitti
informatici.
Con riferimento, invece, a enti privi di tale figura di controllo, interlocutore privilegiato dell’organismo di
vigilanza potrebbe essere il responsabile dei sistemi informativi (o un suo riporto).
Infine, l’OdV potrà relazionarsi con eventuali fornitori/consulenti esterni cui la società abbia affidato in
outsourcing la gestione dei sistemi.
Dal necessario “dialogo” tra l’OdV e il referente interno (ovvero tra l’OdV e l’outsourcer) si dovrà partire
per poter:
• comprendere i meccanismi di funzionamento dei sistemi informativi interni;
• pianificare le verifiche e delineare l’ordine di priorità delle stesse, anche alla luce della “storia”
delle criticità già evidenziate in occasione di precedenti verifiche;
104
Nell’ultima versione in vigore a partire dal il 31 gennaio 2020, consultabile sul sito
https://www.borsaitaliana.it/comitato-corporate-governance/codice/2020.pdf.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 61 -
È best practice nota, infatti, l’attribuzione all’OdV di adeguate risorse finanziarie, di cui lo stesso può
disporre per ogni esigenza connessa al corretto svolgimento delle proprie attività.105 Ebbene, proprio le
verifiche sulla gestione dei sistemi IT potrebbero essere un’occasione privilegiata per l’impiego di tali
risorse, potendo il ricorso a professionisti esterni contribuire a garantire l’efficienza e la terzietà dei
controlli dell’OdV, soprattutto in un ambito così fortemente tecnico.
105
Le Linee Guida di Confindustria valorizzano l’attribuzione delle risorse finanziarie all’OdV alla luce del requisito
di autonomia che l’organismo deve possedere: “Inoltre, la giurisprudenza ha affiancato al requisito dell’autonomia
quello dell’indipendenza (cfr. G.i.p. Tribunale Milano, ordinanza 20 settembre 2004). Il primo requisito, infatti,
sarebbe svuotato di significato se i membri dell’Organismo di Vigilanza risultassero condizionati a livello economico
e personale o versassero in situazioni di conflitto di interesse, anche potenziale. Tali requisiti sembrano assicurati
riconoscendo all’Organismo in esame una posizione autonoma e imparziale, prevedendo il “riporto” al massimo
vertice operativo aziendale, vale a dire al Consiglio di Amministrazione, nonché la dotazione di un budget annuale a
supporto delle attività di verifica tecniche necessarie per lo svolgimento dei compiti ad esso affidati dal legislatore”.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano
- 62 -