4500-t7i-10-DDA - La Prevenzione Dei Reati Informatici - 13 06 2023

GIUGNO 2023
La prevenzione dei reati

informatici: rischi 231,
data protection e
misure di compliance
La redazione del documento è stata coordinata da Deloitte Legal, con il contributo di Deloitte
Risk Advisory
Comitato Centro Studi AODV231: Avv. Luca Antonetto, Dott.ssa Diana D’Alterio, Dott. Ahmed
Laroussi B., Avv. Maria Rosa Molino, Prof.ssa Patrizia Tettamanzi, Prof. Gianluca Varraso.
La versione definitiva del documento è stata approvata dal Consiglio Direttivo di AODV 231 in
data 4 maggio 2023.
© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

-1-
Autori del documento sono:
1. avv. Josephine Romano, Partner Deloitte Legal S.t.A. r.l. S.B. | Head of Corporate
Compliance & ESG Team e coordinatrice del gruppo di lavoro
2. avv. Ida Palombella, Partner Deloitte Legal S.t.A. r.l. S.B. | Head of IP, IT e Data
Protection
3. dott. Tommaso Stranieri, Equity Partner Deloitte Risk Advisory S.r.l. S.B.
4. dott. Salvatore De Masi, Partner Deloitte Risk Advisory S.r.l. S.B.
Hanno collaborato:
5. avv. Cecilia Pontiggia, Managing Associate Deloitte Legal S.t.A. r.l. S.B. (per i capp. 1, 2
e 6)
6. avv. Claudia Caterina Corsaro, Associate Deloitte Legal S.t.A. r.l. S.B. (per i capp. 1, 2 e
6)
7. avv. Giuseppe De Pascalis, Associate Deloitte Legal S.t.A. r.l. S.B. (per i capp. 1, 2 e 6)
8. dott.ssa Giulia Cazzaniga, Senior Manager Deloitte Risk Advisory S.r.l. S.B. (per il cap.
3)
9. dott. Alberto Nicolai, Senior Manager Deloitte Risk Advisory S.r.l. S.B. (per il cap. 4)
10. avv. Pietro Boccaccini, Managing Associate Deloitte Legal S.t.A. r.l. S.B. (per il cap. 5)

-2-
Indice
Introduzione ............................................................................................................................................ 5
Capitolo 1 - Introduzione normativa sulla criminalità informatica............................................................ 7
1.1. I reati informatici nell’elaborazione giurisprudenziale ................................................................ 11
1.2. I reati informatici 231: dall’art. 24 all’art 24-bis e interferenze con i computer facilitated crime.
Ipotesi di riforma ....................................................................................................................................... 13
1.3. I reati informatici 231: breve analisi delle singole fattispecie oggi in vigore .............................. 15
1.4. La confisca ...................................................................................................................................... 21
Capitolo 2 – Cenni giurisprudenziali sulla responsabilità 231 derivante da reati informatici ................ 22
2.1. I reati informatici in azienda: casi pratici affrontati dalla Corte di Cassazione ........................... 24
2.2. Conclusioni: i casi pratici come una possibile “guida” nella costruzione dei Modelli
Organizzativi .............................................................................................................................................. 31
Capitolo 3 - Reati informatici e costruzione del Modello ......................................................................... 33
3.1. La mappatura preliminare dei rischi-reato ................................................................................... 34
3.2. Il Risk Assessment di dettaglio sui rischi-reato ex D.Lgs. 231/2001 ............................................ 37
3.3. Processi c.d. rilevanti (in quanto esposti al rischio-reato) ........................................................... 39
3.4. Definizione dei presidi di controllo ............................................................................................... 41
3.5. Best practice di riferimento ........................................................................................................... 45
Capitolo 4 - L’incremento dei rischi in tema cybersecurity nel contesto pandemico ............................. 46
4.1. Premessa ........................................................................................................................................ 46
4.2. Cambiamenti nel panorama delle minacce cyber ........................................................................ 47
4.3. Breve tassonomia delle minacce cyber ......................................................................................... 47
4.4. Il ruolo della cybersecurity nell’attività di prevenzione dei Modelli 231 .................................... 48
4.5. Gli strumenti a disposizione delle aziende per adattare il Modello 231 alle esigenze del
panorama della cybersecurity ................................................................................................................... 49
4.6. Conclusioni ..................................................................................................................................... 50
Capitolo 5 - Reati informatici e adozione di misure di sicurezza in ottica privacy .................................. 51

-3-
5.1. Principi cardine della compliance privacy..................................................................................... 51
5.2. Illeciti penali privacy e reati informatici ....................................................................................... 52
5.3. Modello organizzativo privacy per la prevenzione dei rischi ....................................................... 53
5.4. Data breach policy ......................................................................................................................... 53
5.5. DPO a confronto con l’OdV 231 .................................................................................................... 54
Capitolo 6 - Reati informatici e attività di vigilanza dell’OdV .................................................................. 57
6.1. I flussi informativi all’OdV da parte delle funzioni aziendali preposte........................................ 57
6.2. Le verifiche dell’OdV tra individuazione delle attività sensibili e supporto delle funzioni
aziendali preposte ..................................................................................................................................... 60

-4-
Introduzione
Lo scopo del presente approfondimento – che non può prescindere dall’inquadramento normativo dei
reati informatici nella loro evoluzione storica e giurisprudenziale – è quello di verificare quali siano, nella
costruzione del Modello organizzativo 231 e nello sviluppo di un sistema di compliance in materia di data
protection, le attività di risk assessment e i presidi di controllo da porre in essere per contenere
l’incremento dei rischi informatici, a maggior ragione nell’attuale contesto pandemico, e quale ruolo
possa rivestire in concreto l’Organismo di Vigilanza nominato ai sensi del D.Lgs. 231/2001.
Mentre si continua a discutere di perimetro di sicurezza nazionale cibernetica, infatti, la criminalità
informatica continua ad evolversi, rapidamente, mettendo in atto tecniche intrusive difficili da
contrastare.
L’utilizzo sempre più frequente di ransomware, killer app che cifrano i dati per ottenere un riscatto per
riaverli in chiaro o per rivenderli, rappresenta una nuova forma di business, anche collegata alla diffusione
delle criptovalute. Esiste infatti un mercato parallelo (una infrastruttura criminale) che sviluppa e vende
strumenti per l'hacking, come i c.d. “script kiddie”, e dove vengono venduti (e quindi acquistati) i dati
sottratti con azioni criminali informatiche (credenziali di accesso, documenti, informazioni finanziarie e
personali ecc.).
Gli esempi più recenti di questo fenomeno criminale sono l’attacco al CED della Regione Lazio, del 30 luglio
2021, effettuato attraverso il furto di credenziali; il sequestro annunciato da Microsoft di 42 siti web
riconducibili ad un gruppo di hacker cinesi noti come Nichel o APT15, che installavano malware sofisticati
nei sistemi informatici di aziende e privati, rubando dati e sorvegliando le vittime per raccogliere
informazioni; l’apocalisse informatica, ancora in corso, causata dalla vulnerabilità scoperta sui sistemi
informatici che usano il linguaggio Java (Log4j, Log4shell) e che rischia di compromettere la sicurezza non
solo di server aziendali, ma anche di smartphone, computer e di tutti i device utilizzati anche da privati
tramite la diffusione di link corrotti che, attraverso questa vulnerabilità, aprano delle backdoor su qualsiasi
sistema connesso alla rete.
Lo scopo ultimo di tali attacchi è fare attività di mining di criptovalute, rubare segreti industriali, utilizzare
ransomware in cambio di riscatto o per la vendita di dati.
I data breach conseguenti a un attacco ransomware hanno per le organizzazioni private e pubbliche una
serie di effetti negativi, diretti e indiretti, anche in termini economici (aumento dei tassi di interesse per i
prestiti, aumento dei premi assicurativi, costi operativi per il recupero, calo della reputazione, riduzione
del valore).
A fronte di una costante evoluzione delle tecniche criminali di violazione dei sistemi informatici e
apprensione di dati sensibili (monetizzabili) le società non sembrano tuttavia dotate di strumenti idonei a
prevenire e contenere detti attacchi. Né, d’altra parte, le società sembrano dotate di presidi per contenere
il rischio che condotte delittuose siano commesse al proprio interno.
Il rischio di commettere reati informatici, infatti, non pertiene solo a quegli attori “intrinsecamente
criminali” quali i collettivi di hacker, ma anche a tutti quelli operatori economici che potrebbero avere un
interesse o trarre un vantaggio da condotte promosse (più o meno direttamente) al proprio interno. Si
pensi, ad esempio, al dipendente della società che acceda abusivamente al portale acquisti di una Pubblica
Amministrazione per modificare/alterare la documentazione di gara ovvero ottenga informazioni sul
know-how di un competitor tramite accesso ai sistemi informatici di quest’ultimo.
Proprio in questo momento storico e alla luce di tali fenomeni criminali, il D.Lgs. 231/2001 può venire in
aiuto, supportando le società nella definizione di presidi di controllo e Modelli organizzativi costruiti

-5-
(anche) al fine di prevenire i delitti indicati nell'art. 24-bis del D.Lgs. 231/2001, nonché del reato di frode
informatica previsto dall’art. 24 del medesimo decreto1.
1
Si tratta, come noto, di reati puniti a titolo di dolo. L’evoluzione dell’applicazione normativa e giurisprudenziale
riguardante il cybercrime e i reati informatici sarà in ogni caso oggetto di costante monitoraggio nel tempo, per
comprendere se e in che misura un ente potrà essere ritenuto responsabile anche per reati commessi da parte di
terzi che abbiano approfittato delle “carenze” nelle misure di sicurezza informatica adottate dall’ente stesso. Si
pensi, ad esempio, a tutti quei casi in cui l’ente abbia omesso di adottare dei presidi di sicurezza informatica
aggiornati o rapportati alle dimensioni, al business e ai rischi propri all’ente stesso, agevolando così la condotta
criminale di terzi.
-6-
Capitolo 1 - Introduzione normativa sulla criminalità
informatica2
L’esigenza di apprestare un sistema di prevenzione e tutela dai reati informatici3, inquadrati nel più ampio
e pervasivo fenomeno del cybercrime, commessi mediante l’abuso di elementi della tecnologia
informatica, software e hardware, è emersa solo a partire dalla fine degli anni ’80, in conseguenza
dell’evoluzione informatica, della sua diffusione non solo in ambiti governativi, pubblici, ma anche privati,
e dell’introduzione e diffusione della rete internet.
In sintesi, nel mondo del cybercrime, le condotte delittuose perseguite dal legislatore possono pertanto
essere sinteticamente suddivise in due categorie:
• computer crime, che hanno come obiettivo l’attacco o l’intrusione prevalentemente a scopo di
lucro di computer e device (attacchi informatici a infrastrutture digitali tramite virus, denial-of-
service attacks, malware, ecc.);
• computer facilitated (o related) crime, ovvero crimini comuni realizzati attraverso l’impiego di
strumenti informatici (furto, trattamento illecito di dati, appropriazione indebita, riciclaggio,
clonazione di strumenti di pagamento, estorsione, frode informatica, information warfare,
phishing, dialer, spam, ecc.).
Lo sviluppo tecnologico e la nascita di internet, in particolare, hanno creato un nuovo canale di
comunicazione che tuttavia è divenuto rapidamente veicolo per la realizzazione di illeciti. In altri termini,
un risvolto negativo dello sviluppo tecnologico dell’informatica.
In detta evoluzione, sono comparse delle inedite categorie di “criminali”, quali ad esempio i produttori di
hardware e software aventi finalità intrusive e illecite (malware) e gli hacker, ma vi è stato anche un
ampliamento di fatto dei delitti, tra cui l’hacking, la diffusione di virus informatici, le frodi telematiche, lo
spamming, la diffusione di informazioni illegali online.
Così i supporti informatici, i dati e i programmi sono divenuti, da meri strumenti, mezzi materiali od oggetti
di condotte criminose non contrastabili o prevenibili con gli strumenti legislativi allora vigenti.
Il primo testo normativo emanato a riguardo a livello europeo è stato la
EUROPA
Raccomandazione sulla Criminalità Informatica del Consiglio d'Europa, che ha
1990
individuato le condotte informatiche ritenute abusive e passibili di intervento
2 Ai fini del presente elaborato si è scelto di non trattare le tematiche connesse ai delitti di terrorismo e
cyberbullismo e pedopornografia che pur avendo subito rilevanti modifiche normative per lo strumento con il
quale vengono commessi o facilitati detti reati, sono scevri dall’analisi che si è inteso operare strettamente
connessa ai delitti previsti dall’art. 24-bis del D.Lgs. 231/2001.
4
Ai fini del presente elaborato, utilizzerà in generale il concetto di “reati informatici”, ricomprendendo in tale
definizione anche quelli che possano essere commessi con mezzi:
- telematici, ossia strumenti capaci di connettere tra loro più sistemi informativi;
- telegrafici, ossia strumenti che consentono la trasmissione di dati attraverso la tecnologia telegrafica;
- telefonici, ossia strumenti che consentono la trasmissione di dati attraverso la tecnologia telefonica.
Allo stesso modo, si parlerà in generale di “strumenti informatici”. Verrà al contrario impiegata la nozione di
“strumenti informatici o telematici” ogni qual volta la norma di legge citata faccia riferimento esplicito a entrambe
le categorie.

-7-
sanzionatorio. La preoccupazione sentita a livello eurocomunitario era che “the computer
may well become the Achilles’ heel of the post-industrial society”.
Sono state dunque predisposte due liste di reati, una minima, che gli Stati erano invitati
a perseguire penalmente, ed una opzionale:
• nella prima lista venivano elencati i reati di falso in documenti informatici, di
danneggiamento di dati e programmi, di sabotaggio informatico, di accesso abusivo,
associato alla violazione delle misure di sicurezza del sistema, di intercettazione non
autorizzata, di riproduzione non autorizzata di programmi protetti, di topografie di
prodotti a semiconduttore, di frode informatica, intesa quale condotta di alterazione
di un procedimento di elaborazione di dati con lo scopo di procurarsi un ingiusto
profitto;
• nella lista opzionale, invece, erano inserite altre condotte, comunque rilevanti, quali
l'alterazione di dati o programmi non autorizzata che non comportasse un
danneggiamento, lo spionaggio informatico, inteso come divulgazione di
informazioni legate al segreto industriale o commerciale, l'utilizzo non autorizzato di
un elaboratore o di una rete di elaboratori, l'utilizzo non autorizzato di un programma
informatico protetto, abusivamente riprodotto.
Nel 1994 detta Raccomandazione è stata integrata con l’inserimento di ulteriori condotte
penalmente rilevanti quali il commercio di codici d’accesso ottenuti illegalmente e la
diffusione di virus e malware.
ITALIA In Italia, i primi disegni di legge sono stati presentati e discussi sin dagli inizi degli anni
1993 ’80,4 ma si è giunti ad una legislazione organica dei reati informatici solo nel 1993,5 con la
legge di modifica del codice penale e di procedura penale che ha recepito la lista minima
dei reati contemplati nella Raccomandazione del Consiglio d’Europa.
2008 Nel 2008,6 con la ratifica della Convenzione di Budapest sul Cybercrime del 2001, è stato
8 introdotto l’art. 24-bis nel D.Lgs. 231/2001.
2012 Nel 2012,7 è stato modificato l’art. 240 c.p., con previsione della confisca degli strumenti
informatici che siano stati usati, in tutto o in parte, per la commissione dei reati previsti
dalle leggi 547/93 e 48/2008.
2019
Infine, nel 2019,8 è stato istituito, anche in conformità con quanto previsto dal Legislatore
Comunitario con la c.d. "Direttiva NIS” in merito alla individuazione dei soggetti
4
G. TADDEI ELMI (curatore), R. ORTU, P. CIFALDI, La Raccomandazione del Consiglio d'Europa del 9 settembre 1989
n. R (89)-9 e la Legge 23 dicembre 1993 n. 547 in materia di computer crimes: una analisi comparativa, in
Informatica e diritto, XXII annata, Vol. V, 1996, n. 1, pp. 113-132, par. 2.1.
5
Legge 23 dicembre 1993 n. 547 (G. U. n. 305 del 30 dicembre 1993) Modificazioni ed integrazioni alle norme del
codice penale e del codice di procedura penale in tema di criminalità informatica.
6
Legge 18 marzo 2008 n. 48 (G.U. n. 80 del 4 aprile 2008 - Supplemento ordinario n. 79) Ratifica ed esecuzione
della Convenzione del Consiglio d´Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e
norme di adeguamento dell´ordinamento interno.
7
Legge 15 febbraio 2012, n. 12 (G.U. Serie Generale n. 45 del 23 febbraio 2012), Nuove disposizioni in materia di
misure per il contrasto ai fenomeni di criminalità informatica.
8
Decreto Legge 21 settembre 2019 n. 105 (G.U. n. 222 del 21 settembre 2019) convertito con modificazioni, dalla
Legge 18 novembre 2019, n. 133 Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di
disciplina dei poteri speciali nei settori di rilevanza strategica (SICUREZZA CIBERNETICA).
Detto testo normativo deve essere letto unitamente al D. Lgs. 65/2018, di recepimento della Direttiva (UE)
2016/1148 del 6 luglio 2016, Network & Information Security (NIS) che ha come scopo quello di rafforzare la tutela
dei servizi il cui malfunzionamento potrebbe causare danni alla popolazione e al tessuto produttivo.

-8-
competenti (responsabili) del mantenimento degli standard di sicurezza delle reti e dei
sistemi informativi, il perimetro di sicurezza nazionale cibernetica ed è stato introdotto
uno specifico delitto (art. 1, comma 11 D.L. 105/2019),9 che è andato ad integrare, come
reato presupposto, l’art. 24-bis, comma terzo, D.Lgs. 231/2001.
Si precisa fin d’ora che tale delitto, per la sua peculiarità e ristretta applicabilità, non sarà oggetto precipuo
del presente approfondimento, che ha invece lo scopo di fornire una più ampia panoramica dei rischi
informatici cui potrebbero in linea teorica essere esposte la totalità (o quasi) delle realtà aziendali operanti
nei più diversi settori economici. Va nondimeno rilevato come non possa escludersi che i presidi che
verranno analizzati nel corso del prosieguo potranno in massima parte essere ritenuti applicabili, mutatis
muntandis, anche agli enti qualificati quali Operatori di Servizi Essenziali, nonché agli enti inclusi nel
Perimetro di Sicurezza Nazionale Cibernetica. Detti presidi potranno infatti configurarsi quali regole
cautelari “minime” da implementare per la prevenzione dei reati informatici astrattamente loro
applicabili. Tali regole saranno poi necessariamente dettagliate e integrate da quelle peculiari per tali enti,
dettate dal D.L. n. 105/2019 e dal D. Lgs. 65/2018.
I reati introdotti o modificati dai testi normativi richiamati non sono contenuti in un singolo titolo del
codice penale, avendo il legislatore italiano preferito privilegiare il criterio del bene giuridico tutelato.
Troviamo pertanto inseriti,
• tra i delitti contro la fede pubblica (Libro II, Titolo VII), in particolare sulla falsità in atti e la falsità
personale (capi III e IV) gli articoli:
491-bis c.p. Documenti informatici con previsione del reato di falso informatico
495-bis c.p. Falsa dichiarazione o attestazione al certificatore di firma elettronica

sull’identità o su qualità personali proprie o di altri
Si tratta di norme complementari che hanno quale obiettivo quello di preservare la continuità di servizi essenziali,
e possono riguardare i medesimi obbligati, come sancito espressamente dall’art. 1 comma 8, D.L. 105/2019.
In particolare, l’art. 4 D. Lgs. 65/2018 individua i seguenti criteri per l'identificazione degli operatori di servizi
essenziali: “a) un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o
economiche fondamentali; b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; c) un incidente
avrebbe effetti negativi rilevanti sulla fornitura di tale servizio”, mentre sono destinatari della normativa sul
Perimetro di sicurezza nazionale cibernetica, ai sensi del Decreto del Presidente del Consiglio dei Ministri del 30
luglio 2020 n.131, gli operatori attivi nei seguenti ambiti: interno, difesa, spazio e aerospazio, energia e
telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali o del lavoro.
9
L’Art. 1, comma 11, del D.L. 105/2019 in particolare introduce una nuova fattispecie di delitto che punisce con la
reclusione da 1 a 3 anni coloro i quali forniscono informazioni o dati non rispondenti al vero rilevanti per
l’aggiornamento degli elenchi degli operatori dei servizi essenziali, per gli affidamenti di forniture di beni, sistemi e
servizi ICT destinati ad essere impiegati sulle reti, per le attività ispettive e di vigilanza, nonché coloro i quali
omettono tali informazioni, allo scopo di ostacolare o condizionare l’espletamento dei procedimenti di cui all’art.
1, comma 2, lett. b) procedimento di compilazione e aggiornamento degli elenchi delle reti, dei sistemi informativi
e dei servizi informatici, e comma 6, lett. a), procedimenti relativi all’affidamento di forniture di beni, sistemi e
servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi, e lett. c) attività ispettive e di vigilanza della
Presidenza del Consiglio dei ministri e del Ministero dello sviluppo economico. si tratta di una condotta connotata
dal dolo specifico, punito sia nella forma omissiva che in quella commissiva, tesa ad ostacolare o condizionare
l’espletamento dei procedimenti, descritti nello stesso art. 1 del D.L. 105/2019, per i quali è imposto l’obbligo di
verità.
-9-
• tra i delitti contro la persona (Libro II, Titolo XII), in particolare contro la libertà individuale
mediante violazione del domicilio e violazione dei segreti (capo III, sezioni IV e V) gli articoli:
615-ter c.p. Accesso abusivo a un sistema informatico o telematico
615-quater c.p. Detenzione, diffusione e installazione abusiva di apparecchiature, codici e

altri mezzi atti all'accesso a sistemi informatici o telematici10
615-quinquies c.p. Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi

o programmi informatici diretti a danneggiare o interrompere un sistema
informatico o telematico11
617-quater c.p. Intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche12
617-quinquies c.p. Detenzione, diffusione e installazione abusiva di apparecchiature e di altri

mezzi atti a intercettare, impedire o interrompere comunicazioni
informatiche o telematiche13
617-sexies c.p. Falsificazione, alterazione o soppressione del contenuto di comunicazioni
informatiche o telematiche
• tra i delitti contro il patrimonio (Libro II, Titolo XIII), in particolare mediante violenza e mediante
truffa (capi I e II) gli articoli:
635-bis c.p. Danneggiamento di informazioni, dati e programmi informatici
635-ter c.p. Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo

Stato o da altro ente pubblico o comunque di pubblica utilità
635-quater c.p. Danneggiamento di sistemi informatici o telematici
10
Rubrica così sostituita dall’art. 19 della Legge n. 238/2021 contenente "Disposizioni per l'adempimento degli
obblighi derivanti dall'appartenenza dell'Italia all'Unione Europea - Legge Europea 2019-2020”. La riforma ha
esteso la cornice edittale della pena della reclusione sino a 2 anni nell’ipotesi base e da 1 a 3 anni se ricorre taluna
delle circostanze di cui all’art. 617-quater comma 4. La precedente rubrica recitava: Detenzione e diffusione
abusiva di codici di accesso a sistemi informatici o telematici.
11
Rubrica così sostituita dall’art. 19 della Legge n. 238/2021. La precedente rubrica recitava: Diffusione di
apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o
telematico.
12
L’art. 19 della Legge n. 238/2021 ha esteso la cornice edittale della pena della reclusione, ora prevista da 1 anno
e 6 mesi a 5 anni e da 3 a 8 anni se il fatto è commesso secondo le modalità previste dal comma 4.
13
Rubrica così sostituita dall’art. 19 della Legge n. 238/2021. La precedente rubrica recitava: Installazione di
apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche.
- 10 -
635-quinquies c.p. Danneggiamento di sistemi informatici o telematici di pubblica utilità
640-ter c.p. Frode informatica
640-quinquies c.p. Frode informatica del soggetto che presta servizi di certificazione di firma
elettronica
Sono stati inoltre modificati alcuni reati “comuni” già previsti dal codice penale con estensione delle
fattispecie punite ai nuovi beni tutelati:
392 c.p. Esercizio arbitrario delle proprie ragioni con violenza sulle cose (con
estensione della condotta anche ai sistemi informatici)
616 c.p. Violazione, sottrazione e soppressione di corrispondenza (con equiparazione,

al comma quarto, della corrispondenza ordinaria a quella informatica,
telefonica o comunque a distanza)
621 c.p. Rivelazione del contenuto di documenti segreti (con estensione al comma
secondo del concetto di documento a “qualunque supporto informatico
contenente dati, informazioni o programmi”)
Infine, sono state estese ai documenti informatici le ipotesi di falsità di cui al Capo III Della falsità in atti,
Titolo VII Dei delitti contro la fede pubblica.
1.1. I reati informatici nell’elaborazione giurisprudenziale

Lo sforzo normativo operato per colmare il vulnus di tutela creato dalla proliferazione di nuove forme di
reato, dalla smaterializzazione della realtà fenomenica, dalla tutela di oggetti virtuali sarebbe rimasto
privo di conseguenze concrete se non vi fosse stato un intervento ermeneutico teso alla specificazione
delle condotte delittuose formulate dal legislatore in maniera assolutamente generica.14
Per comprendere appieno il significato e la portata dei reati informatici, intesi quali violazioni commesse
per mezzo o con l’ausilio di un sistema o programma informatico e/o avente ad oggetto lo stesso sistema
o programma informatico è bene partire dalle definizioni sancite dall’art. 1 della Convenzione di Budapest
emanata dal Consiglio d’Europa nel 2001, non recepite nei testi normativi nazionali, ma fatte proprie
dalla giurisprudenza di legittimità:15
• “sistema informatico” è qualsiasi dispositivo o gruppo di dispositivi interconnessi o correlati, uno
o più dei quali, in esecuzione di un programma, effettua trattamenti automatizzati di dati;
14
T. Pietrella, Reati informatici e concorso di norme: come l’evoluzione tecnologica informa il diritto penale. Il caso
delle Botnets, in Dis Crimen, 2.12.2021.
15
Convention on Cybercrime Budapest, 23.11.2001.
- 11 -
• “dati informatici” sono qualsiasi rappresentazione di fatti, informazioni o concetti in una forma
idonea all'elaborazione in un sistema informatico, compreso un programma atto a provocare un
sistema informatico per svolgere una funzione.
In sede di legittimità,16 partendo dalle definizioni richiamate, è stato infatti affermato che “per sistemi
informatici o telematici (…) deve intendersi un complesso di dispositivi interconnessi o collegati con unità
periferiche o dispositivi esterni (componenti hardware) mediante l'installazione di un software contenente
le istruzioni e le procedure che consentono il funzionamento delle apparecchiature e l'esecuzione delle
attività per le quali sono state programmate”. In particolare, la giurisprudenza ha ritenuto sussistente la
condotta di cui all’art. 635-quater c.p. con riferimento alla distruzione, al fine di perpetrare un furto, di
due telecamere esterne dell’area di accesso ad una casa di cura intese quali componenti periferiche di un
sistema informatico di videosorveglianza, in quanto strumenti di ripresa e trasmissione di immagini e dati
ad unità centrali per la registrazione e memorizzazione.
È stato altresì affermato che i “dati informatici, contenenti files, sono qualificabili ‘cose mobili’ ai sensi
della legge penale” in quanto “il file, pur non potendo essere materialmente percepito dal punto di vista
sensoriale, possiede una dimensione fisica costituita dalla grandezza dei dati che lo compongono, come
dimostrano l’esistenza di unità di misurazione della capacità di un file di contenere dati e la differente
grandezza dei supporti fisici in cui i files possono essere conservati e elaborati” e deve essere pertanto
tutelato nella sua capacità “di esser trasferito da un luogo ad un altro, anche senza l’intervento di strutture
fisiche direttamente apprensibili dall’uomo”.17 Nel dettaglio, è stata ritenuta “condotta di appropriazione
indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati
informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati e alla
restituzione del computer ‘formattato’”. Per la configurabilità della condotta appropriativa, infatti, “va
considerata la capacità del file di essere trasferito da un supporto informatico ad un altro, mantenendo le
proprie caratteristiche strutturali, così come la possibilità che lo stesso dato viaggi attraverso la rete
Internet per essere inviato da un sistema o dispositivo ad un altro sistema, a distanze rilevanti, oppure per
essere ‘custodito’ in ambienti ‘virtuali’ (corrispondenti a luoghi fisici in cui gli elaboratori conservano e
trattano i dati informatici); caratteristiche che confermano il presupposto logico della possibilità del dato
informatico di formare oggetto di condotte di sottrazione e appropriazione. In conclusione, pur se difetta
il requisito della apprensione materialmente percepibile del file in sé considerato (se non quando esso sia
fissato su un supporto digitale che lo contenga), di certo il file rappresenta una cosa mobile”.
Analogo sforzo ermeneutico è stato compiuto per identificare in concreto le condotte che il legislatore ha
inteso sanzionare. Le rubriche penalistiche, infatti, non sono idonee a coprire, come detto a causa della
eccessiva genericità della formulazione, tutte le fattispecie di cybercrime (spamming, phishing, hacking,
skimming, diffusione e creazione di malware ecc.).
Si intende per esempio per skimming la “tecnica criminale con cui, grazie all'utilizzo di uno skimmer
(apparecchio per la lettura e la memorizzazione dei contenuti presenti sulle bande magnetiche delle carte
elettroniche), il truffatore entra in possesso dei dati delle carte di pagamento, codice PIN incluso (in caso
di bancomat o carta di credito multifunzione)”, mentre per phishing la “tecnica fraudolenta online con cui,
grazie all’invio di false email molto simili a quelle inviate da istituti emittenti o noti siti e-commerce, il
truffatore entra in possesso del numero di carta di credito, codice segreto, dati personali del titolare della
carta. Il phishing identifica, principalmente, le truffe basate su transazioni online non autorizzate dal
titolare”.18
16
Cassazione Penale, Sez. V, 8 gennaio 2020, n. 4470.
17
Cassazione Penale, Sez. II, 13 aprile 2020 (ud. 7 novembre 2019), n. 11959.
18
Tribunale di Roma, Sez. XVII, 25 giugno 2019, (ud. 24 giugno 2019), n. 13442, nonché in tema di phishing
Cassazione Penale, Sez. II, 9 febbraio 2017, n. 10060.
- 12 -
1.2. I reati informatici 231: dall’art. 24 all’art 24-bis e interferenze con i
computer facilitated crime. Ipotesi di riforma
Il D.Lgs. 231/2001, nella sua prima versione, attribuiva la responsabilità amministrativa agli enti per le sole
frodi informatiche perpetrate in danno dello Stato o di un Ente pubblico (art. 640-ter c.p., incluso nell’art.
24 del D.Lgs. 231/2001).
Attesa la necessità di introdurre forme di responsabilità penale per le persone giuridiche anche con
riferimento ai reati informatici più gravi, 19 nel 2008, con la legge di ratifica ed esecuzione della
Convenzione del Consiglio d’Europa sulla criminalità informatica (Budapest il 23 novembre 2001),20 è stato
inserito nel Decreto 231 l’art. 24-bis Delitti informatici e trattamento illecito di dati, che oggi prevede:
la sanzione pecuniaria da cento a cinquecento in relazione alla commissione dei delitti di cui
quote nonché le sanzioni interdittive di cui agli artt. 615-ter, 617-quater, 617-quinquies,
all’art. 9, comma secondo, lettere a), b) ed e) 635-bis, 635-ter, 635-quater e 635-quinquies
c.p.;
la sanzione pecuniaria sino a trecento quote in relazione alla commissione dei delitti di cui
nonché le sanzioni interdittive di cui all’art. 9, agli artt. 615-quater e 615-quinquies c.p.;
comma secondo, lettere b) ed e)
la sanzione pecuniaria sino a quattrocento in relazione alla commissione dei delitti di cui
quote nonché le sanzioni interdittive di cui agli artt. 491-bis e 640-quinquies c.p., fatta
all’art. 9, comma secondo, lettere c), d) ed e) eccezione per le condotte già sanzionate
dall’art. 24 con riferimento ai casi di frode
informatica in danno dello Stato o di altro ente
pubblico.
Come già anticipato al precedente par. 1, il terzo comma dell’art. 24-bis del D.Lgs. 231/2001 è stato
modificato dall’art. 1, comma 11-bis, del D.L. 105/2019,21 con l’inserimento della condotta di cui all'art. 1,
comma 11, del medesimo D.L., che punisce con la reclusione da 1 a 3 anni chi fornisce informazioni o dati
non rispondenti al vero rilevanti per l’aggiornamento degli elenchi degli operatori dei servizi essenziali,
per gli affidamenti di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, per le
attività ispettive e di vigilanza, nonché chi omette tali informazioni, allo scopo di ostacolare o condizionare
l’espletamento dei procedimenti di compilazione e aggiornamento degli elenchi delle reti, dei sistemi
informativi e dei servizi informatici (art. 1, comma 2, lett. b) e dei procedimenti relativi all’affidamento di
forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti e sui sistemi informativi (art.
1, comma 6, lett. a) ovvero le attività ispettive e di vigilanza della Presidenza del Consiglio dei ministri e
del Ministero dello sviluppo economico (art. 1, comma 6, lett. c).22
Sorprende constatare che, al netto della rubrica che espressamente prevede il “trattamento illecito di
dati”, non siano stati inseriti nel corpo dell’articolo i delitti di cui agli artt. 167, 167-bis e 167-ter del D.Lgs.
19
Disegno di legge recante: "Ratifica ed esecuzione della Convenzione d'Europa sulla criminalità informatica fatta a
Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno".
20
Cfr. sub nota 5.
21
Cfr. sub nota 7.
22
Cfr. sub nota 8.
- 13 -
196/2003, come modificato dal D.Lgs. 101/2018, recante attuazione del Regolamento Europeo n.
679/2016, c.d. G.D.P.R.
Si tratta di un evidente vuoto di tutela che andrà colmato quanto prima in considerazione delle
interferenze tra la normativa 231 e la normativa in tema di data protection, soprattutto per ciò che
concerne risk assessment, gap analysis e predisposizione dei modelli.23
In tale direzione, un primo tentativo di integrare la disciplina 231 con quella della tutela dei dati personali
(nella fattispecie: dati relativi a mezzi di pagamento) è rappresentato dal D.Lgs. 184/2021.24
Nell’ambito di un più ampio obiettivo di contrasto alle frodi e alle falsificazioni di mezzi di pagamento
diversi dai contanti, tale decreto, per quanto qui di interesse, ha modificato l’art. 493-ter c.p., con
estensione delle condotte illecite anche agli strumenti di pagamento immateriali, e ha introdotto l’art.
493-quater c.p., con il quale sono state punite la fabbricazione, l’ottenimento per sé o per altri, inclusi
l’importazione, l’esportazione, la vendita, il trasporto o la distribuzione, o la messa a disposizione, di un
dispositivo o di uno strumento, di dati informatici o di altri mezzi principalmente progettati o
specificamente adattati per commettere condotte illecite.
È stato pertanto introdotto nel D.Lgs. 231/2001 l’art. 25-octies1 Delitti in materia di strumenti di
pagamento diversi dai contanti, che ha previsto alla lett. b) la sanzione pecuniaria sino a 500 quote
nonché le sanzioni interdittive di cui all’art. 9, comma secondo, per il delitto di cui all'articolo 493-quater
e per il delitto di cui all'articolo 640-ter, nell'ipotesi aggravata dalla realizzazione di un trasferimento di
denaro, di valore monetario o di valuta virtuale.
Per completezza, non possiamo infine tacere che, accanto ai delitti informatici tipici, vi sono altri c.d.
computer facilitated (o related) crime che hanno trovato ingresso anch’essi nel Decreto 231, e in
particolare gli artt. 25-sexies Abusi di mercato, 25-octies Ricettazione, riciclaggio e impiego di denaro, beni
o utilità di provenienza illecita, nonché autoriciclaggio, 25-nonies Delitti in materia di violazione del diritto
d’autore, qui di interesse nella misura in cui vengano commessi con l’impiego degli strumenti informatici.
Si pensi per ciò che concerne gli abusi di mercato ai sistemi di broker crossing, all’utilizzo di piattaforme
di negoziazione dei derivati, alle negoziazioni automatizzate e all’utilizzo dei sistemi hardware e software,
c.d. High-Frequency Trading (HTF) che rappresentano nuovi e concreti rischi per l'ordinato funzionamento
del mercato, 25 nonché alla rilevanza delle condotte di c.d. cybericiclaggio (anche nella forma
dell’autoriciclaggio) ove, per esempio concernano l’utilizzo di criptovalute, con il vantaggio dell’anonimato
consentito dalle blockchain e, da ultimo, alle violazioni del diritto di autore con riferimento ai software, ai
suoi codici sorgente e ai suoi codici oggetto.
Il presente approfondimento si concentrerà sulla categoria dei computer crime e, in particolare, su quelli
menzionati dal già citato art. 24-bis del D.Lgs. 231/2001 (oltre all’ipotesi di frode informatica punita
invece, come già anticipato, dall’art. 24 del D.Lgs. 231/2001), la commissione dei quali potrebbe pertanto
comportare a carico della società una contestazione per responsabilità amministrativa.
23
Potrebbe in tal senso essere ripresa la riforma, mai attuata, di cui all’originario comma secondo dell’articolo 9
del D. L. 93/2013, poi soppresso in sede di conversione con la L. 119/2013, che includeva nel “Catalogo 231” anche
i delitti in materia di privacy come il trattamento illecito dei dati e le false comunicazioni al Garante (Parte III, Titolo
III, Capo II del decreto legislativo 30 giugno 2003, n. 196), oltre al delitto di frode informatica (ex art.640-ter c.p.) e
ai pagamenti illeciti in formato elettronico (art. 55, comma non del Decreto Legislativo 21 novembre 2007, n. 231).
24
Decreto Legislativo, 8 novembre 2021, n. 184 (GU n. 284 del 29.11.2021 - Suppl. Ordinario n. 40) Attuazione
della direttiva (UE) 2019/713 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativa alla lotta contro
le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti e che sostituisce la decisione quadro
2001/413/GAI del Consiglio (21G00200).
25
Direttiva 2014/65/UE del Parlamento Europeo e del Consiglio del 15 maggio 2014, relativa ai mercati degli
strumenti finanziari e che modifica la direttiva 2002/92/CE e la direttiva 2011/61/UE.
- 14 -
1.3. I reati informatici 231: breve analisi delle singole fattispecie oggi in vigore26
Per l’inserimento dei delitti informatici nell’ambito dell’ordinamento penale italiano e poi nel catalogo dei
reati presupposto 231, è stata utilizzata una tecnica legislativa basata sulla valorizzazione delle condotte
a seconda che siano state commesse con l’utilizzo di sistemi informatici o per il tramite della rete internet,
nonché a seconda della condotta posta in essere, del soggetto agente e del bene giuridico tutelato.
Per la disamina dei singoli reati presupposto di cui all’art. 24-bis del D.Lgs. 231/2001 e della frode
informatica di cui all’art. 24 del medesimo decreto, si seguirà pertanto il criterio utilizzato in sede di
modifica e/o integrazione dei singoli reati nel codice penale.
Della falsità in atti

L’art. 491-bis c.p. ha esteso la tutela della fede pubblica ai documenti informatici pubblici cui la legge
attribuisce efficacia probatoria. Il D.Lgs. 7/2016 ha abrogato i reati di cui agli artt. 485, 486, 594, 627 e
647 c.p. riformulando, tra gli altri, il delitto di cui all’art. 491-bis c.p. al fine di coordinarlo con le norme
abrogate.
Per la loro definizione, si può fare riferimento alle categorie utilizzate dal Codice dell'amministrazione
digitale (D.lgs. 82/2005) secondo cui si intende per documento informatico la "rappresentazione
informatica di atti, fatti o dati giuridicamente rilevanti" (in contrapposizione al documento analogico
definito come "rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti") e al
Regolamento eIDAS (Reg. UE 910/2014) che definisce il documento elettronico come “qualsiasi contenuto
conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva” e per la
definizione di identificazione elettronica.
È dunque considerato documento informatico pubblico il documento sottoscritto con firma elettronica
non qualificata, qualificata, avanzata, digitale, che dia prova della identificabilità dell'autore, integrità e
immodificabilità del documento.
Il soggetto agente, in base alle previsioni del capo III, Titolo VII, Libro II, può essere il Pubblico Ufficiale,
l’esercente un servizio di pubblica utilità, ma anche un privato, mentre le condotte delittuose sanzionate
sono desunte, per espressa previsione normativa, da quelle p.p. dagli art. 476 e ss c.p. ovvero, falsità
ideologica tramite attestazioni o dichiarazioni non veritiere, o falsità materiale, quando vi sia divergenza
tra autore apparente ed autore reale del documento o quando il documento sia stato alterato dopo la sua
formazione. Il bene giuridico tutelato da detto delitto, o meglio dal capo dei delitti di falso, è la fede
pubblica.
Per completezza aggiungiamo che proprio tra i delitti contro la fede pubblica (Libro II, Titolo VII), in
particolare sulla falsità in atti (capo III), è stato inserito il già menzionato art. 493-quater c.p., che punisce
la detenzione e diffusione di apparecchiature, dispositivi o programmi informatici diretti a commettere
reati riguardanti strumenti di pagamento diversi dai contanti.
Delitti contro la inviolabilità del domicilio
26
Codice penale commentato, AA.VV., Wolters Kluwer.
- 15 -
Il delitto di accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.),27 malgrado un
acceso ed irrisolto conflitto dottrinale sulla circoscrivibilità del bene giuridico tutelato, in base alla più
recente giurisprudenza è stato introdotto al fine di tutelare il domicilio informatico.28
Esso, secondo la definizione ormai recepita da numerose pronunce della Corte si Cassazione,29 è costituito
dallo spazio ideale, i cui confini “virtuali” (ma anche fisici in cui sono contenuti i dati informatici) sono
rappresentati da informazioni di pertinenza della persona, a cui viene estesa la tutela della riservatezza
della sfera individuale, quale bene anche costituzionalmente protetto.
Detta norma, che prevede ai fini della sua configurabilità la mera sussistenza in capo all’agente del dolo
generico, non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi
informatici protetti, ma offre una tutela più ampia che si concreta nello jus excludendi alios, quale che sia
il contenuto dei dati racchiusi in esso, purché attinente alla sfera di pensiero o all'attività, lavorativa o
non, dell'utente, sia esso persona fisica o giuridica.
Il perimetro tracciato dalla norma in commento circoscrive la tutela ai soli sistemi protetti da misure di
sicurezza, ovvero dispositivi idonei ad impedire l'accesso al sistema a chi non sia autorizzato, anche ove
consistano in una password banale e facilmente aggirabile, in quanto la pretesa esistenza della misura di
sicurezza, è esclusivamente preordinata a rendere esplicita e non equivoca la volontà di riservare l'accesso
solo a determinate persone, ovvero di porre un generale divieto di accesso.
Integra, dunque, la fattispecie in commento la condotta di accesso o di mantenimento nel sistema, posta
in essere da un soggetto che non sia abilitato ovvero, pur essendo abilitato, violi le condizioni e i limiti
risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne
oggettivamente l'accesso, oppure ponga in essere operazioni di natura ontologicamente diversa da quelle
per le quali l'accesso è consentito.30
Si tratta in altri termini di un reato di pericolo che si realizza “ogniqualvolta l’ingresso abusivo riguardi un
sistema informatico in cui sono contenute notizie riservate, indipendentemente dal tipo di notizia
eventualmente appresa”.31
L’art. 615-quater c.p. è una norma a più fattispecie che incrimina con identica sanzione un ampio novero
di condotte (“procurarsi”, “detenere”, “produrre”, “riprodurre”, “diffondere, “importare”, “comunicare”,
“consegnare”, “mettere in altro modo a disposizione di altri o installare apparati, strumenti, parti di
apparati o di strumenti”), tutte singolarmente integranti il reato di detenzione, diffusione e installazione
abusiva di apparecchiature, codici e altri mezzi atti all'accesso a sistemi informatici o telematici, e tutte
aventi natura giuridica di reato di pericolo (poiché il relativo disvalore è incentrato su condotte
prodromiche rispetto ad un eventuale successivo accesso abusivo ad un sistema informatico o
telematico), di mera condotta, per la cui integrazione non assume rilievo l'effettivo utilizzo del mezzo
d’accesso ad un sistema informatico o telematico protetto de quo, essendo sufficiente la mera idoneità
dei dati carpiti a consentire detto accesso.
27
In base all’art. 1 della Convenzione di Budapest, non recepito nella parte delle definizioni dal legislatore
nazionale, per sistema informatico si intende il complesso organico di elementi fisici (hardware) ed astratti
(software) che compongono un apparato di elaborazione automatica dei dati (cfr. Cassazione Penale, Sez. VI, 4
ottobre 1999, n. 3067, nonché Tribunale di Milano, Sez. III, 19 marzo 2007, Tribunale di La Spezia 23 settembre
2004, Gmer, 2005, 615). Per sistema telematico, invece, si intende, secondo una interpretazione estensiva, ogni
forma di telecomunicazione che si giovi dell'apporto informatico per la sua gestione oppure che sia al servizio di
tecnologie informatiche, indipendentemente dal fatto che la comunicazione avvenga via cavo, via etere o con altri
sistemi.
28
Cfr., ex multis, Cassazione Penale, Sez. II, 14 gennaio 2019, n. 21987.
29
Cfr., ex plurimis, Cassazione Penale, Sez. V, 26 ottobre 2012, n. 42021.
30
Cassazione Penale, Sez. V, 17 maggio 2021, n. 26530.
31
Cassazione Penale, Sez. V, 27 febbraio 2019, n. 8541 nonché Cassazione Penale, Sez. V, 9 novembre 2018, n.
8541.
- 16 -
Si differenzia dal delitto che lo precede in quanto ne costituisce necessario antefatto, tutelando entrambi
il medesimo bene giuridico, ovvero il domicilio informatico, passando da condotte meno invasive a
condotte più invasive, che potrebbero anche presupporre le prime.32
Detta norma, per la cui configurabilità è richiesto il dolo specifico, sanziona l’abusiva acquisizione e
diffusione, con qualsiasi modalità, dei mezzi o codici di accesso preordinati a consentire a soggetti non
legittimati l’introduzione nel sistema informatico o telematico altrui protetto da misure di sicurezza. Va
peraltro ricordato che, come affermato dalle Sezioni Unite,33 il reato è configurabile anche nel caso in cui
l’utente, pur in possesso delle autorizzazioni per accedere a un sistema informatico o telematico, utilizzi
la facoltà di accesso per conseguire finalità illecite.
Anche in questo caso, il bene giuridico tutelato è il domicilio informatico a cui si affiancano la tutela della
segretezza dei dati e dei programmi.
Si tratta di un reato di pericolo indiretto dal momento che, entrando in possesso abusivamente di codici
di accesso, si presenta il pericolo di commettere un accesso abusivo ad un sistema.
Secondo la giurisprudenza di legittimità, dunque, integra il reato di detenzione e diffusione abusiva di
codici di accesso a servizi informatici e telematici (e non quello di ricettazione) la condotta di chi riceve i
codici di carte di credito abusivamente scaricati dal sistema informatico ad opera di terzi e li inserisce in
carte di credito clonate poi utilizzate per il prelievo di denaro contante attraverso il sistema bancomat.34
La fattispecie residuale di cui all’art. 615-quinquies c.p., nella sua attuale e più estesa previsione,
ricomprende una più ampia gamma di fonti di rischio, non solo il software, ma anche apparecchiature e
dispositivi.
Le condotte sanzionate sono il procurarsi, detenere, produrre, riprodurre, importare o, comunque,
mettere in altro modo a disposizione di altri o istallare detti oggetti con lo scopo o l’effetto di danneggiare
sistemi informatici (nel senso più ampio di interrompere o alterare il funzionamento dei sistemi
informatici o telematici oppure i dati o i programmi in esso contenuti o ad esso pertinenti).
Per la sua sussistenza è necessario il dolo specifico ma prescinde dal verificarsi del danneggiamento, e
pertanto è annoverabile tra i reati di pericolo eventualmente indiretto.
In detta fattispecie rientrano l’utilizzo di programmi come virus, worm, malware, backdoor, spyware,
keylogger35 ecc. che nel più grave dei casi comportano la cancellazione totale dell’hard-disk, la modifica
dei file ivi contenuti, l’alterazione del contenuto del video, la perdita di funzionalità specifiche dei
programmi o di alcuni di essi fino alla sostituzione o alterazione di funzioni.36
Le condotte sanzionate hanno come oggetto anche apparecchiature e dispositivi, come l’hardware che
può venire corrotto, danneggiato o alterato anche parzialmente da dongle, smart card, skimmer ecc.
32
Cfr. sub nota 22.
33
Cassazione Penale, SS.UU., 27 ottobre 2011, n. 4694.
34
Cassazione Penale, Sez. II, 3 ottobre 2013, n. 47021.
35
Più nel dettaglio, si intendono:
- per worm, programmi malevoli che si replicano all’interno di un sistema informatico e, saturandolo, ne
impediscono l’utilizzo;
- per malware, programmi malevoli che infettano il sistema informatico e operano sullo stesso contro la
volontà dell’utente;
- per backdoor, programmi malevoli che consentono di avere accesso al sistema informatico di un utente,
anche senza l’autorizzazione di quest’ultimo;
- per spyware, programmi malevoli che consentono di raccogliere informazioni sul sistema informatico in cui
tali programmi sono installati;
- per keylogger, programmi malevoli che trasmettono i dati relativi ai tasti digitati su una tastiera da un
utente.
36
PARODI, CALICE, Responsabilità penali e internet, Milano, 2001, 86.
- 17 -
Delitti contro la inviolabilità dei segreti
Come accaduto per i delitti di falso anche in questo caso il legislatore, mutuando quanto previsto in tema
di comunicazioni telefoniche e telegrafiche (art. 617 c.p.), ha ampliato la tutela anche alla segretezza,
libertà, riservatezza (art. 617-quater c.p.) e sicurezza (art. 617-quinquies c.p.) delle comunicazioni relative
ad un sistema informatico o telematico o intercorrenti tra più sistemi.
Si tratta di due fattispecie che possono essere trattate congiuntamente in quanto entrambe, per la loro
configurabilità, presuppongono il dolo generico e, trattandosi di reati di pericolo, realizzano una tutela
anticipata del bene giuridico tutelato.
Ciò che le contraddistingue sono le condotte specificamente individuate e punite dal legislatore.
L’art. 617-quater c.p., in particolare, individua: l’intercettazione, l’interruzione, l’impedimento e la
rivelazione di comunicazioni.
Secondo la giurisprudenza della Corte di Cassazione si intende per intercettazione anche l’acquisizione di
codici alfanumerici del bancomat mediante applicazione ai terminali di strumentazione idonea alla loro
captazione (rilevazione e copiatura).37
Si deve dunque trattare di una condotta perpetrata con modalità fraudolente, ovvero attraverso
strumenti idonei a celare ai comunicanti – o al sistema informatico stesso, che sia programmato per
consentire o negare autonomamente l’accesso – l’abusiva intromissione del soggetto agente.38
Sotto tale ultimo profilo è stata ritenuta fraudolenta anche l’intromissione effettuata
dall'amministratore del sistema eludendo, attraverso le password e gli altri strumenti d’accesso nella
propria disponibilità in ragione delle funzioni, gli sbarramenti posti all’accesso di estranei alle
comunicazioni.39
Per ciò che concerne le ulteriori condotte di interruzione ed impedimento, individuate dalla seconda parte
del primo comma dell’articolo in commento, esse consistono nel compimento di atti tecnicamente idonei
a far cessare una comunicazione in corso o a impedire che una nuova abbia inizio. Esse non richiedono
una modalità di esecuzione fraudolenta della condotta. Rientrano in tali ipotesi le condotte di chi utilizzi
particolari software in grado di accedere all'altrui computer durante la navigazione in internet,
provocando l’immediato spegnimento del modem e dunque la disconnessione dell'utente dalla rete, con
la conseguente interruzione di tutte le comunicazioni eventualmente in corso, ovvero l’automatica
esclusione di un utente dalle comunicazioni in corso, interrompendo così le conversazioni in atto tra
l’escluso e terzi soggetti.
Anche per la condotta di rivelazione non è richiesta la fraudolenza, essendo al contrario configurabile
anche in caso di intercettazione casuale. Come chiarito dalla giurisprudenza di legittimità, la rivelazione
del contenuto di conversazioni intercettate non presuppone necessariamente che colui il quale divulga
sia il medesimo soggetto autore dell’intercettazione, né che tale intercettazione sia stata operata
fraudolentemente, atteso che le ipotesi criminose di cui al primo e al secondo comma del predetto
articolo sono distinte e autonome, ma punisce chi, venuto comunque (e dunque anche casualmente e
incolpevolmente) a conoscenza del contenuto della comunicazione, la diffonda tra il pubblico.40
L’art. 617-quinquies c.p., invece, punisce le condotte di acquisizione, detenzione, produzione,
riproduzione, diffusione, importazione, comunicazione, consegna, messa a disposizione di altri e
installazione di apparecchiature idonee in concreto ad intercettare, interrompere o impedire
comunicazioni informatiche o telematiche.
37
Cassazione Penale, Sez. II, 9 novembre 2007, n. 45207.
38
39
Cassazione Penale, Sez. V, 6 luglio 2007.
40
Cassazione Penale, Sez. V, 19 maggio 2005, n. 4011.
- 18 -
L’integrazione del reato in esame è stata ravvisata nell’installazione, all’interno di un bancomat, di uno
scanner per bande magnetiche con batteria autonoma di alimentazione e microchip, idoneo a leggere,
raccogliere e memorizzare le relative comunicazioni e scambi di dati.41
Sovente detta condotta viene assorbita da quella prevista dall’art. 617-quater, in quanto l’attività di
fraudolenta intercettazione di comunicazioni informatiche presuppone necessariamente la previa
installazione delle apparecchiature atte a realizzare tale intercettazione, configurandosi un’ipotesi di
progressione criminosa.42
Delitti contro il patrimonio mediante violenza alle cose o alle persone

In seguito alla riforma del 2008 il legislatore ha inteso scindere la tutela penale, differenziando il
trattamento sanzionatorio a seconda che la condotta sia rivolta nei confronti di informazioni, dati o
programmi informatici altrui e consista nella distruzione, deterioramento, cancellazione, alterazione o
soppressione (artt. 635-bis e 635-ter c.p.), oppure sia perpetrata attraverso l’introduzione o la
trasmissione di dati, informazioni o programmi con i quali distrugge, danneggia, rende, in tutto in parte,
inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento (artt. 635-
quater e 635-quinquies c.p.).
Detta differenziazione è stata riproposta anche sotto il profilo sanzionatorio a seconda che le
informazioni, i dati o i programmi informatici siano utilizzati dallo Stato o da altro ente pubblico o ad esso
pertinenti (art. 635-ter) ovvero da soggetti diversi (art. 635-bis), e, con riferimento al danneggiamento, a
seconda che la condotta sia tenuta nei confronti di sistemi di pubblica utilità43 (art. 635-quinquies) oppure
di sistemi non aventi tale destinazione (art. 635-quater).
Il bene giuridico tutelato come si evince dal titolo in cui sono collocati è il patrimonio e tutti prevedono
per la loro sussistenza il dolo generico.
Si tratta di reati a forma libera e ad evento naturalistico, contestabili in talune ipotesi anche in forma
omissiva, ove sussista un dovere giuridico di impedire l’evento.
In giurisprudenza è stata rimarcata la differenza tra i delitti in commento e quello di frode informatica
consistente per l’appunto nella condotta dei primi delitti finalizzata ad impedire il funzionamento del
sistema informatico.44
Delitti contro il patrimonio mediante frode

I reati di cui agli artt. 640-ter e 640-quinquies c.p. ricalcano la norma incriminatrice del delitto di truffa.
Accanto ai beni giuridici del patrimonio e del regolare funzionamento del sistema informatico, figura
anche quello della libertà di autodeterminazione del soggetto passivo.
La fattispecie incriminatrice del delitto di frode informatica punisce l’alterazione con qualsiasi modalità,
ovvero l’intervento senza diritto in qualsiasi modo su sistemi informatici o telematici, differenziandosi e
concorrendo, ricorrendone i presupposti, con i delitti precedentemente commentati.45
41
Cassazione Penale, Sez. V, 22 novembre 2019 (dep. 27 gennaio 2020), n. 3236, nonché Cassazione Penale, Sez. V,
9 luglio 2010, n. 36601.
42
Cassazione Penale, Sez. V, 18 dicembre 2015, n. 4059.
43
Si pensi, ad esempio, a società operanti nel settore della difesa, del trasporto pubblico, o multiutility che
forniscono energia, acqua, servizi di igiene urbana.
44
Cassazione Penale, Sez. II, 1 dicembre 2016, n. 54715.
45
Cfr., ex multis, Cassazione Penale, Sez. V, 9 ottobre 2020, n. 869.
- 19 -
L’elemento soggettivo è rappresentato dal dolo generico, in questo caso dalla coscienza e volontà di
alterare il funzionamento di sistemi informatici o di intervenire senza diritto su dati, informazioni o
programmi in esso contenuti, nonché di procurare a sé o ad altri un ingiusto profitto con altrui danno.
A differenza degli altri delitti di danno, il sistema informatico nel delitto di frode non deve essere
compromesso al punto da essere inservibile.
Come chiarito dalla Corte si Cassazione l’elemento caratterizzante della frode informatica consiste
nell’utilizzo fraudolento del sistema informatico, servendosi di una carta di credito falsificata e di un codice
di accesso captato precedentemente con modalità fraudolenta, tramite il quale il soggetto agente penetra
abusivamente nel sistema informatico bancario, effettuando operazioni di trasferimento di fondi illecite.46
Con l’art. 9 del D.L. n. 93/2013 è stata introdotta, al terzo comma dell’articolo 640-ter c.p., una nuova
aggravante ad effetto speciale del delitto di frode informatica per il caso in cui il fatto venga commesso
con sostituzione dell’identità digitale in danno di uno o più soggetti. Detto reato rileva tuttavia ai fini 231
solo ove sia commesso in danno dello Stato o di altro ente pubblico.
Ulteriore specificazione delle condotte fraudolente è stata compiuta con l’art. 640-quinquies c.p., che
tuttavia si discosta dagli articoli che la precedono, andando a colmare un vuoto di tutela che si era venuto
a creare rispetto alla attività di certificazione e che comunque accomuna tale norma, sotto il profilo del
bene giuridico tutelato, più al delitto di cui all’art. 495-bis che a quelli di frode. La norma in commento,
infatti, sarebbe posta a presidio della integrità del sistema di certificazione qualificata che si
intenderebbe salvaguardare dagli eventuali abusi posti in essere dal certificatore "qualificato" in
violazione degli obblighi su di lui gravanti (garantire la genuinità delle informazioni contenute nei
certificati elettronici rilasciati e garantire la loro idoneità alla verifica della corrispondenza di una
determinata firma elettronica ad un dato soggetto).
La condotta incriminata si sostanzia nella violazione degli obblighi previsti dalla legge per il rilascio di un
certificato qualificato,47 al fine alternativamente descritto di procurare a sé o ad altri un ingiusto profitto
o di arrecare ad altri danno. Si tratta, pertanto, di un reato di mera condotta e a dolo specifico.
Come già anticipato, ricordiamo infine che il D.Lgs. 184/2021 ha introdotto nell’art. 640-ter c.p. un nuovo
secondo comma48 che prevede l’ipotesi aggravata della realizzazione di un trasferimento di denaro, di
valore monetario o di valuta virtuale.
Tale circostanza aggravante è stata altresì inserita nel nuovo dell’art. 25-octies1 del D.Lgs. 231/2001,
quale presupposto della responsabilità amministrativa dell’ente.
Ne deriva che, a oggi, il delitto di frode informatica ex art. 640-ter c.p. viene in rilievo a fini 231 in due
distinte e autonome famiglie di reato:
• nell’art. 24, se commesso in danno dello Stato o di altro ente pubblico o dell’Unione Europea, a
prescindere dalla concreta modalità realizzativa;
46
Cassazione Penale, Sez. II, 17 giugno 2019, n. 30480.
47
Cfr. art. 1, comma primo, lett. f), D.Lgs. n. 82/2005, secondo cui è tale il certificato elettronico conforme ai
requisiti di cui all'I, Dir. 13.12.1999, n. 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui all' II
della medesima direttiva.
48
Il nuovo comma 2 recita: “La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549
se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto
produce un trasferimento di denaro, di valore monetario o di valuta virtuale o è commesso con abuso della qualità
di operatore del sistema”.
- 20 -
• nell’art. 25-octies1, solo nell’ipotesi aggravata in cui la frode comporti un trasferimento di denaro,
valore monetario o valuta virtuale, anche se commesso in danno di privati.49
1.4. La confisca
A conclusione di questo breve e non esaustivo excursus sulle caratteristiche principali dei reati informatici
presupposto della responsabilità 231, che nel prosieguo verranno meglio analizzati per ciò che concerne
la loro applicazione giurisprudenziale in procedimenti a carico di persone fisiche operanti in contesti
aziendali, anche per delinearne i possibili profili di contestabilità all’Ente a titolo di responsabilità
amministrativa, è bene accennare al tema della confisca.
Con l’art. 1, L. 15.2.2012, n. 12 è stato infatti modificato l’art. 240, comma secondo, n. 1 bis c.p. con
estensione della confisca obbligatoria dei beni e degli strumenti informatici o telematici che risultino
essere stati in tutto o in parte utilizzati per la commissione dei reati di cui agli artt. 615 ter, 615 quater,
615 quinquies, 617 bis, 617 ter, 617 quater, 617 quinquies, 617 sexies, 635 bis, 635 ter, 635 quater, 635
quinquies, 640 ter e 640 quinquies c.p.
Detta confisca è stata estesa, ad opera del D.Lgs. 29.10.2016, n. 202, al profitto ed al prodotto dei delitti
ivi previsti, consentendo altresì, in via sussidiaria, la confisca per equivalente di beni di valore pari al
profitto o al prodotto di tali reati, tramite l’aggiunta di un secondo periodo all’art. 240, comma secondo,
n. 1 bis c.p.
49
Tanto si deduce anche dalla Relazione Illustrativa del D.Lgs. 184/2021, secondo cui: “La misura della sanzione è
stata differenziata, prevedendo per i casi, più gravi, di cui all'articolo 493-ter la sanzione pecuniaria variabile tra
300 e 800 quote, parificata alla sanzione prevista (dall'articolo 25-bis) per la violazione dell'articolo mentre per le
condotte di cui agli articoli 493-quater e 640-ter, secondo comma aperta (limitatamente al caso qui introdotto), è
stata prevista la sanzione pecuniaria sino a 500 quote, per omogeneizzarla alla misura della sanzione per le
ulteriori ipotesi aggravanti di peso analogo, già ricomprese nelle stesse disposizioni, e già sanzionate all’articolo 24-
bis”.
- 21 -
Capitolo 2 – Cenni giurisprudenziali sulla responsabilità 231
derivante da reati informatici
Una delle peculiarità della responsabilità amministrativa degli enti in relazione ai reati informatici è
l’assenza di specifica giurisprudenza di legittimità sull’art. 24-bis D.Lgs. 231/2001, nonché sulla frode
informatica di cui all’art. 640-ter c.p., che, lo si ricorderà, è ricompreso tra i reati contro la pubblica
amministrazione dall’art. 24 D.Lgs. 231/2001 in quanto punito solo se commesso a danno dello Stato o di
altro ente pubblico o dell’Unione Europea.50 Non si tratta, peraltro, di un fenomeno che riguarda i soli
reati informatici: accade spesso che, in processi penali incardinati per alcune famiglie di reato
presupposto, alla contestazione a carico di persone fisiche non si associ quella a carico dell’ente.51
A tal fine, giova ricordare che un’importante sentenza in tema di responsabilità amministrativa degli
enti,52 emessa nell’ambito di un caso in cui pure era contestato l’accesso abusivo a sistema informatico,
riguardava tuttavia una presunta condotta di accesso abusivo avvenuto prima del relativo inserimento nel
D.Lgs. 231/2001: l’ente è stato accusato della violazione degli artt. 81 cpv., 640-bis, 61, comma 1, n. 7, c.
p.
Segnatamente, la violazione dell'art. 615-ter c.p., contestata – ribadiamo – alle sole persone fisiche, ha
riguardato l’accesso a notizie riservate iscritte nel RE.GE da parte di dipendenti della Procura della
Repubblica di Bari, seppur titolari di regolari password. In particolare, secondo l’Accusa, sarebbe esistita
presso gli uffici giudiziari baresi la prassi di fornire notizie concernenti l'esistenza o meno di iscrizioni
apprese dal registro generale informatico. In tale circostanza, la Cassazione ha affermato che “le notizie
desumibili dall'accesso al REGE sono segrete ai fini e per gli effetti dell'art. 326 c.p. (vedi Sez. V, 5 ottobre
2004, n. 46174, Esposito ed altri). Dette notizie possono essere rivelate soltanto a chi ne abbia il diritto e
nel rispetto delle norme che regolano il diritto di accesso alle predette notizie”. Di conseguenza, i
dipendenti del Tribunale avrebbero “utilizzato la possibilità di accesso per acquisire notizie da divulgare a
soggetti interessati, in violazione di precise disposizioni di legge e per finalità contrarie a quelle previste
dalla legge”.
Nel corso dei dodici anni trascorsi dall’entrata in vigore della già menzionata L. 48/2008 e dalla
conseguente introduzione dei reati informatici nel “catalogo 231”, dunque, non è dato riscontrare
pronunce della Suprema Corte sulla responsabilità degli enti derivante da detti reati.
Di conseguenza, l’analisi che segue sarà incentrata su una serie di casi pratici che, ancorché abbiano
coinvolto le sole persone fisiche imputate, riteniamo possano fornire una serie di spunti interessanti
anche in tema di responsabilità delle persone giuridiche, alla luce:
• delle condotte contestate;
50
Come specificato nel capitolo che precede, il recente D.Lgs. 184/2021 ha esteso la responsabilità 231 per il
delitto di cui all'articolo 640-ter se commesso a danno di privati, nella nuova ipotesi aggravata dalla realizzazione di
un trasferimento di denaro, di valore monetario o di valuta virtuale tramite la condotta truffaldina.
51
Un simile fenomeno si riscontra, ad es., per i delitti di “Falsità in monete, in carte di pubblico credito, in valori di
bollo e in strumenti o segni di riconoscimento (art. 25-bis, D.Lgs. 231/2001). In materia di reati informatici, va
brevemente citata Cassazione Penale, Sez. V, 29 settembre 2020, n. 30753, nella quale la società imputata era
chiamata a rispondere degli illeciti amministrativi di cui al D.Lgs. n. 231 del 2001, art. 5, lett. a), artt. 21 e 24-bis: la
sentenza, tuttavia, si appunta su questioni meramente processuali e non fornisce principi di diritto sull’illecito
amministrativo dipendente dal reato (in questo caso, l’accesso abusivo a un sistema informatico).
52
Cassazione Penale, Sez. V, 20 giugno 2011, n. 24583.
- 22 -
• delle realtà aziendali in cui queste ultime sono maturate;
• dell’interesse/vantaggio astrattamente ravvisabile in capo alla società.
Il ragionamento deduttivo seguito, con riferimento alle modalità di commissione dei reati presupposto, ai
contesti in cui si sono verificati e alle possibili ripercussioni nei confronti dell’ente, sarà propedeutico
all’approfondimento relativo alle attività di risk assessment e alla definizione dei presidi di controllo del
Modello 231, condotto nel successivo capitolo.
In coerenza con l’impostazione seguita nel capitolo che precede, per la disamina della giurisprudenza e
dei casi pratici si farà riferimento al criterio utilizzato in sede di modifica e/o integrazione dei singoli reati
nel codice penale, tenendo in considerazione, per ciascuna “famiglia” di reati, le fattispecie di più
frequente e più significativa applicazione pratica.53
53
Ad esempio, non verrà analizzata la giurisprudenza sull’art. 617-quinquies c.p., sull’art. 635-ter c.p. o sull’art.
635-quinquies c.p. in quanto non è dato rinvenire pronunce che rientrino nei parametri d'indagine sopra delineati,
né si registrano sentenze di legittimità sui delitti di "Frode informatica del certificatore di firma elettronica” (art.
640-quinquies c.p.).
- 23 -
2.1. I reati informatici in azienda: casi pratici affrontati dalla Corte di Cassazione
Della falsità in atti
Una delle modalità paradigmatiche di realizzazione del reato ex art. 491-bis c.p. è certamente la
falsificazione di documenti pubblici informatici54 contenenti gli importi dovuti dall’ente alla PA nel caso
di flussi informatizzati dei pagamenti tra privati e PA (es. riduzione degli importi).55
Questa è tuttavia solo una delle possibili modalità di realizzazione della fattispecie. Una pronuncia in tema
di falsità in documenti informatici che, sebbene risalente (2003), merita di essere richiamata in questa
sede, individua, infatti, una peculiare modalità di concretizzazione del reato presupposto.56
La vicenda processuale ruotava intorno alla presunta condotta di un dipendente dell’Ispettorato Generale
dell’Albo Nazionale dei Costruttori del Ministero dei lavori pubblici, accusato di aver immesso nell’archivio
informatico di tale Albo dati non corrispondenti alle delibere adottate dai competenti organi deliberativi,
in modo che determinate imprese risultassero iscritte nell’Albo per categorie e per importi di lavori non
corrispondenti a quelli reali.
Secondo l’Accusa, le falsità contestate alle persone fisiche erano state realizzate operando nell'archivio
informatico prima dell’inserimento nel codice penale dell’art. 491-bis c.p. (avvenuto con l’art. 3 L. n.
547/1993): si era pertanto posta la questione relativa alla configurabilità del reato di falso “semplice” in
atto pubblico (art. 476 c.p.).
Al riguardo, la Suprema Corte ha stabilito che: “Integra il reato di falsità materiale in atto pubblico (art.
476 c.p.) - anche nell’ipotesi che il fatto sia stato commesso prima dell’introduzione nel codice penale
dell'art. 491-bis c.p., ad opera dell'art.3 della legge 23 dicembre 1993, n. 547 - la condotta del pubblico
dipendente che inserisca nell’archivio informatico dell’Albo nazionale dei costruttori dati non
corrispondenti alle delibere adottate dai competenti organi deliberativi del predetto Albo – determinando
54
Si ricorda che il D.Lgs. n. 7/2017 ha disposto, con l'art. 2, comma 1, lettera e), la modifica dell'art. 491-bis, che
nella precedente versione recitava: “Se alcuna delle falsità previste dal presente capo riguarda un documento
informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti
pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico
contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli”. La
modifica è stata apportata in coerenza con l’avvenuta depenalizzazione – ad opera dello stesso D.Lgs. n. 7/2017 –
della falsità in scrittura privata, in passato punita dall’art. 485 c.p., il quale prevedeva: “Chiunque, al fine di
procurare a sé o ad altri un vantaggio o di recare ad altri un danno, forma, in tutto o in parte, una scrittura privata
falsa, o altera una scrittura privata vera, è punito, qualora ne faccia uso o lasci che altri ne faccia uso, con la
reclusione da sei mesi a tre anni. Si considerano alterazioni anche le aggiunte falsamente apposte a una scrittura
vera, dopo che questa fu definitivamente formata”.
55 Così si esprimono anche le Linee Guida di Confindustria nell’ultimo aggiornamento del 25 giugno 2021, che, nel
par. 2 dell’appendice sui “case study” dedicata ai delitti di cui all’art. 24-bis, individuano tra le modalità di
realizzazione del reato i possibili esempi: (i) Falsificazione di documenti informatici da parte di enti che procedono
a rendicontazione elettronica di attività; (ii) Cancellazione o alterazione di informazioni a valenza probatoria
presenti sui propri sistemi, allo scopo di eliminare le prove di un altro reato (es. l’ente ha ricevuto un avviso di
garanzia per un reato e procede ad eliminare le tracce elettroniche del reato stesso); (iii) Falsificazione di
documenti informatici contenenti gli importi dovuti dall’ente alla PA nel caso di flussi informatizzati dei pagamenti
tra privati e PA (es. riduzione degli importi) o alterazione dei documenti in transito nell’ambito del SIPA (Sistema
Informatizzato pagamenti della PA) al fine di aumentare gli importi dovuti dalla PA all’ente; (iv) Falsificazione di
documenti informatici compiuta nell’ambito dei servizi di Certification Authority da parte di un soggetto che rilasci
certificati informatici, aventi valenza probatoria, corrispondenti a false identità o attestanti falsi titoli professionali;
(v) Falsificazione di documenti informatici correlata all’utilizzo illecito di dati identificativi altrui nell’esecuzione di
determinate operazioni informatiche o telematiche in modo che queste risultino eseguite dai soggetti legittimi
titolari dei dati (es. attivazione di servizi non richiesti).
56
Cassazione Penale, Sez. V, 24 novembre 2003, n. 11915.
- 24 -
l’iscrizione illecita di numerose imprese per categorie e per importi di lavori che in realtà non erano stati
loro riconosciuti - in quanto, nella previsione di cui all’art. 476 c.p. rientrava, ancor prima che entrasse in
vigore l’espressa previsione dell’art. 491-bis c.p., la condotta del pubblico ufficiale che, nell’esercizio delle
sue funzioni, avesse formato un atto informatico sostanzialmente o formalmente falso, posto che anche
attraverso lo strumento informatico il pubblico ufficiale può, nell’esercizio delle sue funzioni, formare un
documento rappresentativo di atti o fatti, destinato a dare quella certezza alla cui tutela sono preposte le
norme penali”.
Il caso di specie assume importanza ai fini del presente lavoro in quanto sono stati coinvolti – e chiamati
a rispondere a titolo di concorso nel reato commesso dal dipendente pubblico – anche i titolari delle
imprese private “beneficiarie” della falsificazione dei dati sull’archivio pubblico: costoro avevano infatti
potuto partecipare a gare pubbliche e aggiudicarsi i lavori, proprio in virtù delle iscrizioni non veritiere.
Si aggiunga che a uno dei titolari è stato altresì contestato il reato di falso ideologico in atto pubblico per
induzione57 “per aver sottoposto all’esame del Comitato58 certificati attestanti false iscrizioni dell’impresa,
determinando così le delibere del 13 luglio 1988 e del 27 giugno 1990, con le quali erano stati riconosciuti
all'impresa aumenti di importi relativi alle categorie per le quali risultava iscritta falsamente”.
La vicenda trattata dimostrerebbe pertanto come i reati di falso in documenti pubblici informatici
potrebbe assumere senz’altro rilevanza nell’ambito dell’attività d’impresa, nella misura in cui la condotta
privata determini o anche solo “partecipi” a quella pubblica.
Gli esponenti – apicali o sottoposti – di una società potrebbero infatti avere tutto l’interesse a ottenere
certificazioni e documenti (rilasciati dalla Pubblica Amministrazione in formato elettronico) necessari alla
conduzione (o al rafforzamento) del business della società di appartenenza - anche attraverso la
trasmissione di false informazioni al pubblico ufficiale (potendosi in questo caso integrare il reato di falso
per induzione) - godendo così l’impresa dei vantaggi conseguenti a indebiti provvedimenti amministrativi,
emanati in assenza dei presupposti di legge.
Delitti contro la inviolabilità del domicilio

Il delitto di accesso abusivo ad un sistema informatico o telematico, secondo la dottrina (ivi inclusa quella
che specificamente ne ha analizzato la portata per la responsabilità amministrativa degli enti), trova una
tipica forma di concretizzazione, nelle realtà aziendali, in tutte quelle condotte di accesso a dati di
un’impresa che possano avvantaggiarne un’altra.59
Ciò premesso, la giurisprudenza è stata costante nel riconoscere la configurabilità del reato in esame per
quelle condotte fraudolente che provochino o possano provocare un passaggio di clientela da una società
a un’altra.60
57
Il falso ideologico per induzione si configura, secondo costante giurisprudenza, quando la falsa attestazione è
dovuta a una dichiarazione non veritiera di un soggetto, recepita materialmente in un atto pubblico dal pubblico
ufficiale. Sul punto, si rinvia a titolo esemplificativo, a Cassazione Penale, Sez. V, 29 maggio 2014, n. 32759:
“Integra il delitto di falso ideologico in atto pubblico, mediante induzione in errore del pubblico ufficiale (artt. 48 e
479 cod. pen.), la condotta di colui che, presentandosi al punto di pronto soccorso di un ospedale, rende
dichiarazioni non veritiere, idonee a trarre in inganno i sanitari, che, confidando nella verità di quanto loro esposto,
redigono certificati medici falsi. (Fattispecie relativa a certificati di malattia relativi a sinistri mai verificatisi)”.
58
Il Comitato centrale per l’Albo dei costruttori, ndr.
59
Così anche la citata appendice sui “case study” delle Linee Guida di Confindustria, che indica tra le modalità di
realizzazione del delitto la violazione dei sistemi informatici dei concorrenti per acquisire a scopo di spionaggio
industriale la documentazione relativa ai loro prodotti/progetti, precisando che “tale condotta assume particolare
rilievo per gli enti la cui attività è basata su brevetti/disegni/attività di R&S (es. automotive, design, moda,
tecnologie, ecc.)”.
60
L’art. 615-ter c.p. è il reato informatico di maggiore applicazione giurisprudenziale, tra quelli previsti dall’art. 24-
bis D.Lgs. 231/2001.
- 25 -
Vale la pena ricordare in proposito una recente sentenza con cui la Cassazione ha confermato le decisioni
di merito che avevano sancito la condanna dell’imputato per il reato di cui all’art. 615-ter c.p. per “essersi
introdotto abusivamente nel sistema informatico dello ‘Studio C. Associati di B. Rag. M. e C. Rag. A.’, a cui
era associato, e della società ‘C.B. Due di C.A. e B.M. s.n.c.’, di cui era socio, per effettuare il backup dei
dati in esso inseriti, in vista dello svolgimento di una autonoma attività professionale”.61
Sebbene costui fosse abilitato, in virtù della propria posizione, all’accesso ai sistemi informatici in
questione, tale accesso “era stato riconosciuto a favore di B.M. per il perseguimento degli scopi propri
dell’associazione e della società personale, per cui l’aver acceduto a quei sistemi per estrapolarne i dati in
esso contenuti e servirsene per finalità esclusive concreta un accesso abusivo, sanzionabile ai sensi della
norma suddetta”.
Vanno inoltre citati due ulteriori esempi in tal senso, in cui è ancora più evidente come il reato in esame
possa dare origine a contestazioni anche per la persona giuridica.
Un primo esempio è dato dalla sentenza in cui la Suprema Corte ha affrontato il caso di tre soci di una
associazione professionale che, in contrasto con il socio di maggioranza relativa (nominato anche
amministratore), avevano fondato una nuova associazione professionale.62 Prima dello scioglimento della
precedente associazione, ne avrebbero copiato l’archivio telematico, costituito da due server e da due
computer portatili conservati presso la sede sociale, e avrebbero iniziato un’opera di sviamento della
clientela.
La pronuncia è interessante ai fini della presente indagine in quanto – nell’annullare agli effetti civili la
sentenza impugnata con rinvio al giudice civile competente per valore in grado di appello – la Corte ha
rilevato come lo sviamento di clientela avesse procurato un danno allo studio (e un corrispondente
vantaggio della nuova associazione professionale): “la Corte di merito aveva segnalato che non
sussistevano i reati contestati, ma che non vi era dubbio che lo storno di clientela attuato tramite la
acquisizione dei dati ed il trattamento degli stessi avesse prodotto dei danni che avrebbero potuto essere
posti a fondamento di una pretesa risarcitoria a seguito di illecito civile. Appare difficile conciliare una tale
affermazione con la ritenuta assenza di nocumento, apparendo, peraltro, del tutto fuorviante l'argomento
che lo studio aveva continuato a funzionare. Il problema, infatti, non è questo perché nella specie potrebbe,
a cagione delle condotte costituenti reato poste in essere da B. e M., esservi stata una riduzione della
attività e di ciò i giudici avrebbero dovuto tenere conto”.
Parimenti merita di essere menzionata la decisione della Corte di Cassazione che ha sancito il possibile
concorso tra il reato di accesso abusivo e quello di turbata libertà dell'industria o del commercio (ex art.
513 c.p.)63, in quanto gli imputati avrebbero turbato l’attività economica di una impresa concorrente “a
mezzo delle condotte fraudolente di cui agli altri capi di imputazione (reati di cui agli artt. 615 ter e 646
c.p.) […], ponendo in essere le condizioni per uno storno di clientela da quest’ultima società”.64 Anche in
tale vicenda, pertanto, la finalità conseguita attraverso l’accesso abusivo sarebbe stata
l’impossessamento di informazioni dell’impresa concorrente utili per sviarne la clientela in favore della
società facente capo agli imputati.
Dai precedenti citati si comprende la possibile rilevanza in termini di responsabilità amministrativa
dell’ente per il reato di accesso abusivo a sistema informatico commesso da suoi soggetti apicali o
sottoposti.
Per quanto concerne il primo caso, infatti, nel (limitato) periodo in cui le due associazioni hanno
“convissuto”, alla diminuzione del volume d’affari dell’una è corrisposto un incremento del volume
d’affari dell’altra. E, rispetto a tale incremento, il contestato accesso abusivo con conseguente
61
Cassazione Penale, Sez. V Sent., 2 dicembre 2020, n. 34296.
62
Cassazione Penale, Sez. V, 1 ottobre 2008, n. 37322.
63
A sua volta reato presupposto, previsto tra i “Delitti contro l’industria e il commercio” ai sensi dell’art. 25-bis1
D.Lgs. 231/2001.
64
Cassazione Penale, Sez. III, 5 ottobre 2010, n. 35731.
- 26 -
appropriazione dei dati è stato strumentale, in quanto propedeutico all’acquisizione della passata
clientela.
Allo stesso modo, nel secondo caso sopra menzionato, le due imprese erano già dirette concorrenti e la
condotta incriminata ex art. 615-ter c.p. è stata attuata nell’interesse (e a vantaggio) non solo
dell’imputato-persona fisica, ma anche dell’ente a questi riconducibile.
Delitti contro la inviolabilità dei segreti

L’assenza di una cospicua giurisprudenza di legittimità in materia di reati informatici, fatta eccezione per
le pronunce richiamate in tema di accesso abusivo ad un sistema informatico, si riscontra ancor più con
riferimento agli artt. 617-quater c.p. ‘Intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche’ e 617-quinquies c.p. ‘Detenzione, diffusione e installazione abusiva di
apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche
o telematiche’, ove mancano esempi tipici di condotte contestate in ambito aziendale e – a maggior
ragione – eseguite nell’interesse o a vantaggio di una persona giuridica.
La giurisprudenza formatasi sul punto concerne perlopiù fenomeni di criminalità comune.
L’art. 617-quater c.p. è stato infatti contestato in caso di acquisizione – tramite strumenti fraudolenti
applicati sui terminali bancomat – dei codici alfanumerici che consentono l’accesso degli utenti ai servizi
bancari.65
Parimenti, il delitto di cui all’art. 617-quinquies c.p. è stato ritenuto integrato con l’installazione, sempre
all’interno di un terminale bancomat, di “uno scanner per bande magnetiche con batteria autonoma di
alimentazione e microchip per la raccolta e la memorizzazione dei dati, al fine di intercettare
comunicazioni relative al sistema informatico”.66
Possiamo in ogni caso valorizzare, ai fini del presente lavoro, la lettura data dalla Suprema Corte in
relazione al reato di intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o
telematiche (nel quale risulta assorbito il reato di cui all’art. 617-quinquies c.p. “considerato che l’attività
di fraudolenta intercettazione di comunicazioni informatiche presuppone necessariamente la previa
installazione delle apparecchiature atte a realizzare tale intercettazione, configurandosi un’ipotesi di
progressione criminosa”).67
In tale ottica, pare opportuno menzionare il caso in cui la Suprema Corte ha accolto il ricorso proposto dal
legale rappresentante di una società e annullato con rinvio la sentenza di merito con cui era stato
dichiarato il non luogo a procedere nei confronti del responsabile del centro elaborazione dati della
società stessa, imputato ai sensi dell’art. 617-quater c.p.
Questi era stato accusato di avere intercettato le comunicazioni di posta elettronica indirizzate ad
amministratori e dipendenti, mediante un programma appositamente inserito: “Non vi è dubbio che la
posizione di amministratore di sistema - connessa alla qualità di responsabile dei servizi informatici –
conferisca a chi ne sia investito la facoltà di accedere liberamente al sistema stesso, avvalendosi di tutti i
privilegi (in senso informatico) che ne derivano, tra cui l’assegnazione delle password ai titolari dei diversi
account e la definizione dei privilegi spettanti a ciascuno. È altrettanto indubbio, peraltro, che una volta
ottenuta l’assegnazione della propria password ognuno degli utenti abbia la libertà di sostituirla con altra,
a tutela della propria riservatezza; e che l’amministratore di sistema non abbia alcun titolo, né mezzo
lecito, per accedere alla casella di posta elettronica del singolo account e prendere conoscenza del suo
contenuto”.68
65
Cassazione Penale, Sez. II, 9 novembre 2007, n. 45207.
66
Cassazione Penale, Sez. V, 9 luglio 2010, n. 36601.
67
68
Cassazione Penale, Sez. V, 31 luglio 2007, n. 31135.
- 27 -
Secondo la ricostruzione della Corte di legittimità, l’accesso a tali account da parte dell’amministratore di
sistema può pertanto integrare il reato ex art. 617-quater c.p.
Ebbene, la contestazione di tale reato potrebbe costituire il presupposto della responsabilità 231 della
società di appartenenza dell’amministratore di sistema. Si pensi, in via esemplificativa, a tutti quei
comportamenti che l’amministratore di sistema potrebbe attuare per accedere a informazioni dei
dipendenti su input degli apicali della Società, eventualmente interessati ad ottenere maggiore efficienza
produttiva sfruttando informazioni sensibili acquisite illecitamente.
In tale contesto, sono da tenere in debita considerazione anche le realtà aziendali che, non avendo
nominato un amministratore di sistema interno, si siano rivolte a professionisti esterni per gestire la
propria infrastruttura IT. Questi ultimi potrebbero, in virtù di rapporti personali e/o di business con
competitor e al fine di favorire tali soggetti, sfruttare le proprie capacità e i propri privilegi d’accesso per
ottenere dati riservati sul concorrente (es. informazioni sulla partecipazione a gare di appalto o di
fornitura svolte su base elettronica) 69 ovvero ostacolarne le comunicazioni (es. impedendo la
comunicazione di un’offerta per la partecipazione ad una gara).70 La responsabilità 231 potrebbe in questo
caso ravvisarsi in capo ai competitor in nome e per conto dei quali il professionista esterno agirebbe
illecitamente.
Delitti contro il patrimonio mediante violenza alle cose o alle persone

La dottrina individua quali esempi del reato presupposto di danneggiamento di sistemi informatici e
telematici ex art. 635-bis c.p. tutti i comportamenti che possono concretizzarsi in un “danneggiamento
dei sistemi su cui i concorrenti conservano la documentazione relativa ai propri prodotti/progetti allo
scopo di distruggere le informazioni e ottenere un vantaggio competitivo” ovvero in “un danneggiamento
delle infrastrutture tecnologiche dei concorrenti al fine di impedirne l’attività o danneggiarne
l’immagine”.71
Simili comportamenti sono stati ritenuti idonei a integrare il reato in esame anche dalla giurisprudenza
penale.
Giova in merito richiamare una sentenza di legittimità,72 emessa in un giudizio in cui all’imputato erano
ascritti i reati di cui all'art. 61, n. 11, e 635-bis c.p., per avere cancellato, nella qualità di dipendente di una
ditta individuale, una gran quantità di dati dall’hard disk del computer aziendale, per poi sottrarre delle
copie di back-up.
La sentenza appena menzionata è interessante in quanto da un lato delinea una condotta infedele che
un dipendente può attuare a vantaggio di un altro datore di lavoro (attuale, nel caso di un impiego
parallelo; futuro, nel caso di dimissioni) e, dall’altro, stabilisce un importante principio di diritto. Secondo
la Suprema Corte, infatti, la condotta di cancellazione dei dati punita dal reato di danneggiamento di dati
informatici non presuppone necessariamente la cancellazione definitiva, irreversibile, del file, ma sussiste
anche qualora il suo recupero, pur possibile, comporti oneri di spesa o, comunque, l'impiego di unità di
tempo lavorativa ovvero “quando la manomissione e l’alterazione dello stato di un computer sono
rimediabili soltanto attraverso un intervento recuperatorio postumo non reintegrativo dell’originaria
configurazione dell’ambiente di lavoro”.
Un secondo caso che – seppur risalente a prima dell’entrata in vigore dell’art. 635-bis c.p. – merita un
cenno in questa sede, dato il valore paradigmatico dei fatti in contestazione e l’autorevolezza del
Giudicante, è stato invece affrontato dalle Sezioni Unite.73
69
Cfr. Linee Guida di Confindustria, appendice “Case study”, cit.
70
71
72
Cassazione Penale, Sez. V, 5 marzo 2012, n. 8555.
73
Cassazione Penale, Sez. Unite, 13 dicembre 1996, n. 1282.
- 28 -
Nel procedimento, gli imputati rispondevano di vari reati che sarebbero stati commessi nell’ambito di una
complessa operazione economica finalizzata a creare una società parallela a quella per la quale operavano
(che svolgeva attività di commercializzazione di computer e di software di base, nonché di produzione di
programmi applicativi), estromettendo al contempo quest’ultima dal mercato. Costoro fondarono
dunque una newco dimettendosi dalla società di appartenenza e sottraendo dai locali aziendali di
quest’ultima documentazione commerciale societaria e formati sorgente di programmi applicativi, con
cancellazione di tutti i dati concernenti l’impresa stessa memorizzati nell’infrastruttura informatica
aziendale.
Ancora una volta, si evince come la condotta delittuosa avente ad oggetto i sistemi informatici di una
determinata impresa venga commessa allo scopo di assicurare un vantaggio competitivo ad un’altra.
Sulla scorta di quanto sancito dalla giurisprudenza citata, in caso di indagine penale avente ad oggetto
una situazione analoga a quella delle decisioni esaminate sarebbe dunque possibile ipotizzare il
coinvolgimento processuale non solo dei dipendenti infedeli, ma pure, ai sensi dell’art. 24-bis D.Lgs.
231/2001, della società nel cui interesse i dipendenti stessi avrebbero illecitamente agito, danneggiando
i sistemi informatici del competitor. Questo naturalmente nel periodo in cui i dipendenti lo siano al
contempo di entrambe le realtà aziendali, ovvero ricoprano il ruolo di soggetto apicale o sottoposto
(condizione necessaria per la possibile configurabilità di una responsabilità 231 della persona giuridica)
contemporaneamente nelle due società.
In chiusura, è utile segnalare come la richiamata pronuncia delle Sezioni Unite faccia peraltro luce sul
rapporto tra la norma di cui all’art. 635-bis c.p. e la fattispecie di danneggiamento “semplice”: “Sotto il
profilo giuridico si deve ribadire la tesi espressa dal Pretore e dai giudici di appello, secondo la quale la
cancellazione di dati dalla memoria di un computer in modo tale da renderne necessaria la creazione di
nuovi significa rendere inservibile parzialmente, mediante la distruzione di un bene immateriale,
l’elaboratore, cioè un bene mobile, donde la configurabilità del delitto di danneggiamento previsto
dall’art. 635 c.p. Né in contrario avviso può indurre l’analoga fattispecie criminosa nella materia de qua
prevista dall’art. 635 bis c.p., introdotto con l’art. 9 della l. 23.12.1993, n. 547 in materia di criminalità
informatica, poiché la nuova ipotesi di reato, punita più gravemente di quella di cui all’art. 635, ha lo scopo
di rafforzare la tutela penale nella specifica materia per le necessità imposte dalla frequenza dei
comportamenti illeciti nel campo dell’informatica e dei danni che ne derivano agli autori e ai fruitori dei
sistemi di base e applicativi”.
Il danneggiamento punito dall’art. 635-bis c.p. è pertanto una ipotesi criminosa speciale rispetto al
danneggiamento semplice: la condotta consistente nella cancellazione di dati dalla memoria di un
computer, in modo tale da renderne necessaria la creazione di nuovi, prima dell’entrata in vigore dell’art.
635-bis c.p. configurava comunque un illecito penale e, segnatamente, il reato di danneggiamento ai sensi
dell’art. 635 c.p.
Delitti contro il patrimonio mediante frode

Come già indicato nel capitolo che precede, la struttura del reato di cui all’art. 640-ter c.p. ricalca quella
della truffa “semplice”. Ne deriva che, come la fattispecie base, anche la frode informatica trova diverse
occasioni di applicazione pratica.
Tuttavia, il suo approfondimento nell’ottica della possibile responsabilità amministrativa dell’ente deve
considerare, da un lato, che l’art. 24 D.Lgs. 231/2001 circoscrive l’applicazione a sole condotte commesse
“in danno dello Stato o di altro ente pubblico o dell'Unione europea”74 e, dall’altro, che il reato deve
essere commesso nell’interesse e/o a vantaggio dell’ente.
Di conseguenza, vanno escluse dall’esame le condotte di dipendenti di imprese private che accedano
senza diritto a informazioni su clienti e programmi aziendali, per poi duplicarli e impiegarli a proprio
74
Salvo quanto si dirà infra sull’art. 25-octies1 D.Lgs. 231/2001.
- 29 -
profitto presso nuovi datori di lavoro.75 Né rilevano in questa sede quei comportamenti realizzati a danno
di un ente pubblico ma nell’esclusivo interesse dell’autore, che, in qualità di funzionario dell'Agenzia delle
entrate, accetti una somma di denaro per modificare le situazioni contributive, riducendo il debito del
contribuente.76
Dall’analisi dei precedenti giurisprudenziali può, comunque, evidenziarsi un settore merceologico in cui
alla contestazione del reato in capo alle persone fisiche potrebbe seguire quella a carico della società. Si
tratta, più nel dettaglio, del settore del gaming.
Al riguardo, emerge chiaramente come, nell’ambito del business di imprese che gestiscono attività di
giochi e scommesse, si registrino contestazioni a carico di dipendenti che, al fine di trattenere
indebitamente la quota di imposta che grava sulle giocate, avrebbero alterato il funzionamento degli
hardware e software installati sui device collegati alla rete dell’Agenzia delle dogane e dei Monopoli
(“AAMS”); l’Agenzia registra infatti il numero di scommesse al fine di verificare le vincite e imporre alle
stesse la relativa tassazione.
In una recente sentenza, l’imputato era stato condannato in quanto “ritenuto responsabile dei reati di cui
agli artt. 81 cpv., 640 ter e 648 c.p., per avere acquistato e posto in esercizio due macchinette slot-
machines immatricolate come macchine da gioco ai sensi del comma 7 lett. c) dell'art. 110 T.U.L.P.S. per
le quali, attraverso un telecomando o combinazione di tasti, era possibile modificare il funzionamento in
macchine da gioco elettronico eroganti vincite in denaro, soggette alla diversa disciplina di cui all'art. 110,
comma 6, T.U.L.P.S., in tal modo procurandosi l'ingiusto profitto derivante dall'incasso totalmente in nero
di somme soggette a prelievo erariale unico che l'imputato ometteva di versare all'erario”.77
Nel confermare la condanna per l’imputato,78 la Cassazione ha precisato che “Integra il reato di frode
informatica, previsto dall'art. 640-ter cod. pen., l'introduzione, in apparecchi elettronici per il gioco di
intrattenimento senza vincite, di una seconda scheda, attivabile a distanza, che li abilita all'esercizio del
gioco d'azzardo (cosiddette "slot machine"), trattandosi della attivazione di un diverso programma con
alterazione del funzionamento di un sistema informatico”.79
Nel caso di specie, l’operazione, che comportava un danno per l'AAMS (e, quindi, per un ente pubblico)
era stata attuata dal gestore del device.
Ove però la modifica del funzionamento della macchina fosse effettuata dalla stessa impresa produttrice,
già in sede di sviluppo oppure in una fase successiva, in capo a tale società potrebbe sorgere una
responsabilità amministrativa: la stessa trarrebbe infatti un evidente vantaggio dal reato di frode
informatica, consistente nella maggiore appetibilità sul mercato dei dispositivi ovvero in una eventuale
partecipazione ai profitti illeciti del gestore.
75
Cassazione Penale, Sez. V, 28 aprile 2015, n. 17756.
76
Cassazione Penale, Sez. VI, 17 aprile 2009, n. 16669.
77
Cassazione Penale, Sez. II, 1 dicembre 2016, n. 54715.
78
Più precisamente, la Corte ha annullato la sentenza impugnata dall’imputato limitatamente alla omessa
motivazione sulla richiesta di sanzione sostitutiva, con rinvio ad altra sezione della Corte di Appello per il giudizio
sul punto, rigettando il ricorso nel resto e dichiarando irrevocabile l'affermazione di responsabilità.
79
Per completezza, va segnalato un indirizzo giurisprudenziale contrario, secondo cui i comportamenti esaminati
integrerebbero non già il delitto di frode informatica, bensì quello di truffa aggravata ai danni dello Stato. In tal
senso, si rinvia a Cassazione penale, Sez. VI Sent., 20 giugno 2017, n. 41767: “Integra il reato di truffa aggravata ai
danni dello Stato anziché quello di frode informatica, previsto dall'art.640-ter cod.pen l'inserimento negli
apparecchi elettronici da gioco di una scheda informatica, attivabile a distanza, mediante la quale la quota di
spettanza dell'erario non viene comunicata e, conseguentemente, versata all'amministrazione finanziaria, senza
che ciò comporti alcuna alterazione del sistema informatico o telematico altrui. (In motivazione, la Corte ha
precisato che l'inserimento di una seconda scheda all'interno del medesimo apparecchio da gioco, non incide sul
sistema informativo lecito, bensì funziona autonomamente, condividendo esclusivamente le periferiche di ingresso
ed uscita)”.
- 30 -
Per quanto attiene infine al nuovo reato presupposto di frode informatica aggravata dalla realizzazione di
un trasferimento di denaro, di valore monetario o di valuta virtuale, collocato sistematicamente
all’interno dei reati in materia di mezzi di pagamento diversi dai contanti (art. 25-octies1 D.Lgs. 231/2001)
e rilevante anche se commesso a danno di soggetti privati, va sottolineato come non sussistano
precedenti specifici, alla luce della recentissima introduzione dell’aggravante.
Ciononostante, si ritiene utile richiamare in questa sede la giurisprudenza che si è già espressa in passato
in ordine alla frode informatica connessa all’utilizzo di strumenti di pagamento diversi dai contanti (nella
specie: carte di credito) e ha in generale affrontato il tema dell’uso fraudolento di mezzi di pagamento
elettronici.
In particolare, la Suprema Corte ha osservato che “Integra il delitto di frode informatica, e non quello di
indebita utilizzazione di carte di credito, la condotta di colui che, servendosi di una carta di credito
falsificata e di un codice di accesso fraudolentemente captato in precedenza, penetri abusivamente nel
sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi”.80
Allo stesso modo, la Cassazione ha stabilito che “Integra il delitto di frode informatica, e non quello di cui
all'art. 55 n. 9 del D.Lgs. n. 231 del 2007, la condotta di colui che, servendosi di un codice di accesso
fraudolentemente captato, penetri abusivamente nel sistema informatico bancario ed effettui illecite
operazioni di trasferimento fondi, al fine di trarne profitto per sé o per altri. (In motivazione, la S.C. ha
ritenuto decisiva la sussistenza dell'elemento specializzante, costituito dall'utilizzo "fraudolento" del
sistema informatico)”. 81 Nel caso qui affrontato, all’imputato era stato contestato il delitto di frode
informatica per avere utilizzato un conto corrente on-line non più intestato a lui per effettuare una ricarica
telefonica.
Ciò posto, si può rilevare come le condotte analizzate dalle sentenze da ultimo citate abbiano comportato
la realizzazione di “un trasferimento di denaro, di valore monetario o di valuta virtuale”, presupposto di
applicazione della nuova fattispecie aggravata di frode informatica.82
Le stesse condotte, dunque, qualora commesse nell’ambito dell’attività di impresa e a vantaggio dell’ente,
potrebbero oggi assumere rilevanza per l’imputazione all’ente della responsabilità 231 ai sensi dell’art.
25-octies1 del D.Lgs. 231/2001 in relazione al reato di cui all’art. 640-ter c.p.
2.2. Conclusioni: i casi pratici come una possibile “guida” nella costruzione dei
Modelli Organizzativi
A conclusione di questa breve disamina, emerge distintamente come, malgrado a oggi non siano
intervenute decisioni di legittimità per responsabilità amministrativa degli enti in relazione a reati
informatici, la Suprema Corte abbia già affrontato delle vicende in cui pure sarebbero stati astrattamente
riscontrabili i presupposti di applicabilità del D.Lgs. 231/2001.
80
Cassazione penale, Sez. II, 9 maggio 2017, n. 26229. Viceversa, secondo Cassazione penale, Sez. II, 30 ottobre
2019, n. 50395, integra il delitto di cui all'art. 493-ter e non quello previsto dall’art. 640-ter, l’utilizzo indebito - in
assenza di frode – di una tessera bancomat e del relativo codice per effettuare prelievi di denaro.
81
Cassazione penale, Sez. II, 13 ottobre 2015, n. 50140.
82
Giova in questa sede ricordare che, nei casi di specie, potrebbe venire in rilievo anche il nuovo reato di cui all’art.
493-quater c.p., che – sebbene sistematicamente collocato tra i reati di falso – punisce condotte preliminari a
episodi di frode, tra i quali la produzione, importazione, messa a disposizione, ottenimento per sé o per altri di
apparecchiature, dispositivi o programmi informatici costruiti e progettati principalmente per commettere reati
riguardanti strumenti di pagamento diversi dai contanti o specificamente adattati al medesimo scopo: si pensi, ad
es., all’acquisto o allo sviluppo di un software che consente di accedere all’home banking di clienti o fornitori, e
disporre bonifici dai conti correnti.
- 31 -
Come vedremo nei successivi paragrafi, tali decisioni e i principi in esse espressi potranno pertanto
guidare le società nella costruzione di modelli di organizzazione e gestione capaci il più possibile di
mitigare il rischio di realizzazione dei reati informatici.

- 32 -
Capitolo 3 - Reati informatici e costruzione del Modello
Come già evidenziato nei capitoli precedenti, il D.Lgs. 231/2001 ha subito negli anni importanti modifiche,
con particolare riferimento, per quanto qui di interesse, ai reati informatici (artt. 24, 24-bis, 25 quinquies,
D.Lgs. 231/2001).
Si fornisce qui di seguito una nuova schematizzazione dei summenzionati reati informatici per una più
agevole rappresentazione degli stessi:
I Reati informatici nel D.Lgs. 231/2001
FALSI FI CAZ I O N E D I D O CU M EN T I I N FO R M AT I CI
I N ST ALLAZ I O N E D I AP PAR ECCH I AT U R E AT T E AD I N T ER CET T AR E ,
(Ar t . 4 9 1 bis c.p.) I M P ED I R E O I N T ER R O M P ER E CO M U N I CAZ I O N I I N FO R M AT I CH E O
T ELEM AT I CH E
ACCESSO ABU SI V O AD UN SI ST EM A
I N FO R M AT I CO O T ELEM AT I CO (Ar t . 6 1 7 quinquie s c.p.)
(Ar t . 6 1 5 - t e r c.p.) D AN N EGGI AM EN T O D I I N FO R M AZ I O N I , D AT I E

PR O GR AM M I I N FO R M AT I CI
D ET EN Z I O N E E D I FFU SI O N E ABU SI V A D I
CO D I CI DI ACCESSO A SI ST EM I (Ar t . 6 3 5 - bis c.p.)
I N FO R M AT I CI O T ELEM AT I CI
Reat i
(Ar t . 6 1 5 - qua t e r c.p.) I nform at ici D AN N EGGI AM EN T O D I I N FO R M A Z I O N I , D AT I E
PR O GR AM M I I N FO R M AT I CI U T I LI Z Z AT I D ALLO
D I FFU SI O N E D I AP P AR ECCH I AT U R E , ST AT O O D A ALT R O EN T E PU BBLI CO O CO M U N Q U E
D I SP O SI T I V I O PR O GR AM M I I N FO R M AT I CI D.Lgs. 231/ 01 D I PU BBLI CA U T I LI T À
D I R ET T I A D AN N EGGI AR E O I N T ER R O M P ER E U N
SI ST EM A I N FO R M AT I CO O T ELEM AT I CO Ar t . 24- bis (Ar t . 6 3 5 - t e r c.p.)
(Ar t . 6 1 5 - quinquie s c.p.) D AN N EGGI AM EN T O D I SI ST EM I I N FO R M AT I CI O

T ELEM AT I CI
I N T ER CET T AZ I O N E , I M P ED I M EN T O O
I N T ER R U Z I O N E I LLECI T A D I CO M U N I CAZ I O N I (Ar t . 6 3 5 - qu a t e r c.p.)
I N FO R M AT I CH E O T ELEM AT I CH E
D AN N EGGI AM EN T O D I SI ST EM I I N FO R M AT I CI O
(Ar t . 6 1 7 - qua t e r c.p.)
T ELEM AT I CI D I PU BBLI CA U T I LI T À
V I O LAZ I O N E D ELLE N O R M E I N M AT ER I A D I P ER I M ET R O DI (Ar t . 6 3 5 - quinquie s c.p.)

SI CU R EZ Z A N A Z I O N A LE CI BER N ET I CA
FR O D E I N FO R M AT I CA D EL CER T I FI CA T O R E D I FI R M A ELET T R O N I CA
(Ar t . 1 ,com m a 1 1 , D .L. 2 1 . 0 9 .2 0 1 9 , n. 1 0 5 c.p.)
(Ar t . 6 4 0 - qu inqu ie s c.p.)
Premesso ciò, in ottica di rilevazione ed implementazione del Sistema normativo a mitigazione dei rischi-
reato in ambito informatico, strettamente connessi all’utilizzo degli asset tecnologici (ICT), nonché di
definizione di potenziali od eventuali vulnerabilità del Sistema di Controllo Interno in relazione ai profili di
rischiosità individuabili, seguendo per comodità espositiva l’articolazione delle Linee Guida di
Confindustria, il Modello di Organizzazione Gestione e Controllo83 ai sensi del D.Lgs. 231/2001 deve essere
sviluppato nelle seguenti componenti:
• mappatura dei rischi-reato specifici dell’organizzazione, in base alle caratteristiche del business,
alle dimensioni e articolazione organizzativa, alla storia dell’ente stesso, con particolare
riferimento alle fattispecie di reato di cui all’art. 24-bis, D.Lgs. 231/2001 ritenute rilevanti e
potenzialmente applicabili e alle relative modalità di commissione;
• identificazione dei processi e delle attività sensibili rispetto a tali rischi-reato, dei principi e presidi
di controllo atti a prevenire e contenere i rischi-reato identificati (dalla governance, alla modalità
di attribuzione di deleghe e poteri, ai diversi livelli di controllo interno, ai singoli presidi di
controllo nei vari processi aziendali), in relazione ai reati di cui all’art. 24-bis del D.Lgs. 231/2001;
• risk-crime self assessment, finalizzato ad analizzare e valutare l’efficacia e l’efficienza dei protocolli
generali e specifici di controllo a presidio del rischio di commissione dei reati informatici, nonché
83
Di seguito anche solo “Modello” o “MOG”.
- 33 -
ad individuare possibili interventi di miglioramento del Sistema di Controllo Interno, al fine di
prevenire la configurazione delle condotte illecite e la commissione dei suddetti reati.
Al contempo, nell’attività di implementazione del predetto sistema, occorrerà considerare anche le
disposizioni previste dall’ordinamento per la salvaguardia di altri interessi parimenti degni di tutela, quali
quelle in materia di rispetto dei diritti dei lavoratori e della privacy sui luoghi di lavoro. Va, ad esempio,
ricordato che l’impiego di strumenti informatici che consentano all’impresa di controllare i propri
dipendenti incontra i limiti previsti dall’art. 4 dello Statuto dei Lavoratori.84
3.1. La mappatura preliminare dei rischi-reato

Al fine di agevolare una più efficace ed efficiente mappatura dei rischi-reato, unitamente ad una piena
consapevolezza degli stessi da parte di tutti gli attori aziendali e destinatari del Modello 231 (inclusi coloro
che in azienda non hanno una specifica formazione giuridica), si rende opportuno attingere alle
metodologie e agli strumenti forniti dalle discipline aziendalistico-manageriali, con specifico riferimento
alle tematiche della Gestione dei rischi (i.e. Enterprise Risk Management) e dei Sistemi di Controllo interno
(i.e. Internal Controls).
Si fornisce di seguito una esemplificazione di una tipica mappa utilizzata nell’ambito dell’Enterprise Risk
Management per identificare, catalogare e classificare in modo strutturato ed efficace i rischi di business
di una organizzazione d’impresa complessa:
84
L. 20 maggio 1970, n. 300, il cui art. 4, comma 1 recita: “Gli impianti audiovisivi e gli altri strumenti dai quali
derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente
per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e
possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle
rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse
province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali
comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di
cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale
del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi
territoriali, della sede centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono
definitivi”. A tal proposito, giova segnalare che la giurisprudenza di legittimità ha a più riprese evidenziato i
presupposti di legittimità di tali controlli: “È legittimo il controllo c.d. difensivo del datore di lavoro sulle strutture
informatiche aziendali in uso al lavoratore, a condizione che esso sia occasionato dalla necessità indifferibile di
accertare lo stato dei fatti a fronte del sospetto di un comportamento illecito e che detto controllo prescinda dalla
pura e semplice sorveglianza sull'esecuzione della prestazione lavorativa essendo, invece, diretto ad accertare la
perpetrazione di eventuali comportamenti illeciti” (cfr. inter alia, Cass. civ. Sez. lavoro, 22 settembre 2021, n.
25732)
- 34 -
Analogamente, potrà essere effettuata una mappatura specifica dei Corporate Risk Crime, avvalendosi di
strumenti che aiutino il management ad avere una comprensione chiara ed immediata del profilo di
rischio-reato specifico della propria organizzazione.
Si fornisce nel seguito un’esemplificazione di una mappatura specifica dei Corporate Risk Crime per
identificare, catalogare e classificare in modo strutturato ed efficace, i rischi-reato di una organizzazione
d’impresa complessa:

- 35 -
In particolare, nella mappa sono indicati i diversi ambiti di rischio-reato (i.e. reati informatici, finanziari,
ambientali, fiscali, etc.), le famiglie di reato così come presenti nel catalogo del D.Lgs. 231/2001, nonché
le singole fattispecie di reato applicabili (o non applicabili) alla realtà oggetto di analisi.
Tale mappatura, così sintetizzata e schematizzata, dovrà essere inoltre accompagnata da ulteriore
documentazione, di maggior dettaglio, al fine di fornire evidenza e documentare l’analisi svolta,
soprattutto con riferimento alle motivazioni che abbiano indotto il management a ritenere non applicabili
alla propria organizzazione determinate fattispecie di reato.
In particolare, nella mappa riportata nel seguito, cui si rimanda nell’Allegato A, sono indicati gli specifici
ambiti di rischio-reato (i.e. reati informatici), le singole fattispecie di reato applicabili (o non applicabili)
alla realtà oggetto di analisi.

- 36 -
Crimini informatici
Art. 24 bis
Delitti informatici e
trattamento illecito dei
dati
Falsità in documento informatico

pubblico o avente efficacia
probatoria
(art. 491 bis c.p.)
Accesso abusivo ad un sistema

informatico o telematico
(art. 615 ter c.p.)
Detenzione, diffusione,
installazione abusiva di
apparecchiature/codici/altri
mezzi atti all'accesso a sistemi
informatici/telematici
(art. 615 quater c.p.)
Detenzione/diffusione/
installazione abusiva di
apparecchi/dispositivi/programmi
per danneggiare/interrompere
sistema informatico/telematico
(art. 615 quinquies c.p.)
Intercettazione, impedimento o
interruzione illecita di
comunicazioni informatiche o
telematiche
Detenzione, diffusione, inst.
abusiva di apparecchi/altri mezzi
atti ad intercettare/impedire/
interrompere comunicazioni
informatiche/telematiche (art.
617 quinquies c.p.)
Danneggiamento di informazioni,
dati e programmi informatici
(art. 635 bis c.p.)
Danneggiamento di informazioni,
dati e programmi informatici
utilizzati da Stato/ente pubblico o
comunque di pubblica utilità
(art. 635 ter c.p.)
Danneggiamento di sistemi
informatici o telematici
Danneggiamento di sistemi
informatici o telematici di
pubblica utilità
Frode informatica del

certificatore di firma elettronica
3.2. Il Risk Assessment di dettaglio sui rischi-reato ex D.Lgs. 231/2001

Sicurezza cibernetica
(art. 1, co. 11, D.L. 105/2019)
Identificati e mappati in modo strutturato e completo i reati applicabili all’organizzazione in base alle
caratteristiche del business, alle dimensioni e articolazione organizzativa, si rende necessario effettuare
una più approfondita analisi dei rischi-reato (Risk Assessment 231), così come richiesto dal comma 2, lett.
a), dell’art. 6 del Decreto.
Anche in questo caso, come già indicato in precedenza in sede di mappatura, è possibile fare ricorso alle
metodologie e agli strumenti aziendalistico-manageriali sviluppati nell’ambito dell’Enterprise Risk
Management, tenendo tuttavia in considerazione le specificità proprie di un Risk Assessment 231 sui
rischi-reato rispetto alle altre tipologie di valutazione dei rischi di business.
In generale, per rischio si intende qualsiasi variabile o fattore che nell’ambito dell’impresa, singolarmente
o in correlazione con altre variabili, possa incidere negativamente (o anche positivamente) sul
raggiungimento degli obiettivi dell’organizzazione stessa.
Ogni sistema di gestione dei rischi parte necessariamente dalla individuazione degli obiettivi attesi,
rispetto ai quali, per l’appunto, i rischi possono rappresentare delle evenienze avverse o addirittura
favorevoli (c.d. “rischio-opportunità”).
È importante quindi chiarire e definire correttamente la finalità specifica del “Risk Assessment 231”,
rispetto ad altre valutazioni di rischio orientate ad obiettivi di business di diversa natura.
In tal senso, infatti, non solo cambiano gli obiettivi, ma anche le modalità di misurazione, le soglie di
accettabilità, i concetti classici di probabilità e impatto, in funzione della diversa finalità del Risk
Assessment 231.
Di fatto, è necessario cambiare l’intera prospettiva, il framework stesso di riferimento alla base
dell’assessment 231. In effetti, nel caso dei rischi-reato, gli obiettivi sottesi travalicano il perimetro proprio
dell’impresa e della propria autodeterminazione, e dovranno necessariamente tenere conto degli obiettivi

- 37 -
dell’ordinamento giuridico, ovvero degli interessi tutelati dai singoli reati presenti nel catalogo del D.Lgs.
231/2001.
L’analisi e la valutazione dei rischi-reato richiede quindi la disamina di ogni singolo reato in base alle
caratteristiche dell’ente, al suo business e alla sua storia, ma anche una valutazione puntuale
dell’elemento oggettivo e soggettivo propri di ogni reato presupposto, al fine di comprendere se, in quali
circostanze e con quali modalità, un determinato illecito possa essere commesso nell’interesse o a
vantaggio dell’ente, nell’ambito dell’organizzazione oggetto di analisi.
L’ente è chiamato ad effettuare una ricognizione dei fattori di rischio e degli elementi di criticità del
proprio agire in base ai requisiti normativi applicabili (che derivano dal catalogo dei reati-presupposto) e
al contesto in cui opera, al fine di comprendere e limitare la pericolosità delle proprie condotte (non solo
in via diretta, ma eventualmente anche nella forma del concorso nel reato altrui).
Si intuisce agevolmente che tale analisi non può essere svolta “a tavolino”: richiede necessariamente il
coinvolgimento dei soggetti responsabili delle aree operative, attraverso un approfondito assessment dei
rischi-reato specifici delle rispettive aree di competenza (eventualmente supportati da risorse interne e/o
esterne esperte in materia legale, di risk management, internal auditing e sistemi di controllo interno).
Inoltre, poiché l’obiettivo finale è di poter dare evidenza di tale processo “maieutico” di analisi e
autovalutazione dei rischi-reato anche all’esterno (i.e. nei confronti del pubblico ministero che conduca
le indagini per il reato presupposto e del giudice penale chiamato a pronunciarsi su di esso), sarà
necessario documentare accuratamente tale analisi, attraverso appositi elaborati: le c.d. matrici delle
potenziali modalità attuative degli illeciti nelle aree a rischio-reato.
In conclusione, prima di entrare nel merito dei sistemi di controllo preventivi all’interno dei processi
aziendali, occorre inquadrare correttamente i termini della valutazione dei rischi-reato presupposto in
ambito informatico, incardinata sulle condotte tipiche previste dall’ordinamento e su come queste
possano o meno essere integrate nell’agire aziendale, al fine di prendere tutte le necessarie contromisure
secondo una logica di Zero Tolerance rispetto ad ogni illecito.
Per quanto il rischio, in astratto, non possa essere mai eliminato integralmente, l’obiettivo
prevenzionistico dell’ente ai sensi del Decreto deve essere finalizzato a contenerlo nel proprio risvolto di
responsabilità penale – per condotte dolose o colpose – nei termini indicati dalla stessa normativa
(questo, del resto, è il tipo di responsabilità di buona organizzazione che l’ordinamento ha introdotto a
carico dell’ente).
Più specificamente, per i reati dolosi, quali quelli in oggetto, la soglia di accettabilità del rischio-reato è
rappresentata da un sistema di prevenzione tale da non poter essere aggirato se non fraudolentemente
(ai sensi dell’art. 6, comma 1, lett. c), del Decreto). Il Modello deve arginare il rischio-reato in una misura
per cui l’agente non solo dovrà volere la commissione del reato, ma potrà attuare il proprio proposito
criminoso soltanto aggirando fraudolentemente le prescrizioni dell’ente e il relativo sistema normativo
interno.
In tal senso, si rende quindi necessario passare dalla mappatura dei rischi-reato all’analisi dei processi e
delle attività sensibili nel cui ambito potrebbero essere integrate le condotte tipiche. Quindi all’analisi dei
c.d. “Processi strumentali” alla eventuale commissione dei reati informatici, secondo lo schema
esemplificativo riportato nella matrice sottostate (i.e. dal reato al processo sensibile).

- 38 -
3.3. Processi c.d. rilevanti (in quanto esposti al rischio-reato)
Con particolare riferimento ai processi c.d. rilevanti (in quanto esposti al rischio-reato), è ricompresa nel
novero la gestione dei sistemi informativi e delle reti informatiche aziendali che sottende il processo di
gestione degli accessi e dei profili di autorizzazione ed autenticazione ai sistemi informatici/telematici e
alle applicazioni informative aziendali. Tale processo coinvolge specificamente la Funzione IT della società
e gli eventuali soggetti responsabili della stessa: CIO (Chief Information Officer), CISO (Chief Information
& Security Officer), ecc.
Alla luce dell’introduzione nel catalogo dei reati presupposto di cui al D.Lgs. n. 231/2001 dell’art. 1, comma
11-bis, della legge 18 novembre 2019, n. 133 (“Violazione delle norme in materia di Perimetro di sicurezza
nazionale cibernetica”), assumono inoltre rilevanza specifica le attività di predisposizione e
aggiornamento, con cadenza almeno annuale, di un elenco delle reti, dei sistemi informativi e dei servizi
informatici, che comprenda la relativa architettura e componentistica interna. Assume parimenti rilevanza
diretta il processo di gestione della sicurezza informatica.
Il processo di gestione delle attività on-line svolte dai dipendenti assume, inoltre, rilevanza in ragione della
necessità di delineare specifici presidi atti a monitorare e neutralizzare la potenziale pericolosità delle
attività del personale in relazione alle ipotesi di cui agli artt. 615-quater e 615-quinquies c.p.
In aggiunta, dall’interpretazione delle specifiche fattispecie incriminatrici di reato-presupposto,
rispettivamente, di falsificazione di documenti informatici, accesso abusivo ad un sistema informatico o
telematico nonché danneggiamento di informazioni, dati e programmi informatici e danneggiamento di
sistemi informatici o telematici (artt. 491-bis, 615-ter, 635-bis e 635-quater c.p.), emerge chiaramente la
necessità che tutte le funzioni aziendali collaborino alla gestione delle informazioni sensibili.

- 39 -
Più in generale, sempre con riferimento ai processi cd. rilevanti, accanto ai processi sensibili diretti in
ambito informatico, emergono altresì ulteriori ambiti e processi c.d. “strumentali” alla commissione degli
stessi altrettanto importanti per una mappatura completa delle attività a rischio-reato.
Le attività sensibili, connesse a tali ipotesi di rischio-reato, insistono infatti anche su processi di natura
operativa non rientranti direttamente nel processo di gestione delle infrastrutture tecnologiche, ma con
riflessi ipotetici sullo stesso e potenzialmente rilevanti per la commissione dei reati informatici (ad
esempio: "gestione acquisti di beni e servizi", "gestione attività di ricerca e sviluppo", "gestione delle
attività di marketing e comunicazione esterna", etc.).
Si riporta di seguito uno schema esemplificativo di alcuni processi rilevanti in correlazione ai rischi-reato
oggetto di analisi. L’abbinamento processo-reato in base alla colorazione proposto all’interno dello
schema è puramente indicativo ed esemplificativo, variando in ragione delle specificità proprie di ciascuna
realtà aziendale ed organizzazione:

- 40 -
3.4. Definizione dei presidi di controllo
A completamento dell’analisi descritta nei paragrafi precedenti, si rende necessario identificare i presidi
di controllo che l’organizzazione dovrà porre in essere per un efficace ed efficiente contrasto dei rischi-
reato oggetto di analisi.
Negli schemi di seguito riportati, sono rappresentate, a titolo esemplificativo e non esaustivo, le principali
attività sensibili nell’ambito di ciascun processo rilevante rispetto ai rischio-reato 231, nonché i principali
protocolli di controllo applicabili in ottica di presidio del rischio-reato informatico:
A. Processo sensibile: Gestione dei Sistemi Informativi e delle reti informatiche aziendali
Impatto
Reato/Processo Attività sensibili
✓ Gestione delle informazioni sensibili (di business e/o personali)
✓ Gestione e protezione delle reti
✓ Gestione degli accessi da e verso l’esterno

✓ Gestione dei profili utente e del processo di autenticazione
✓ Gestione delle attività on-line svolte dagli utenti
✓ Gestione della sicurezza logica dei dati
✓ Gestione degli output di sistema e dei dispositivi di memorizzazione (es. USB, CD)
✓ Gestione della sicurezza fisica (incluse sicurezza cablaggi, dispositivi di rete, ecc.)
Protocolli di
controllo
✓ Adozione di regolamenti e procedure aventi ad oggetto il corretto utilizzo delle risorse informatiche aziendali, la sicurezza
informatica/telematica, la protezione dei dati sensibili
✓ Predisposizione di strumenti di protezione volti a garantire la sicurezza nello scambio di informazioni sensibili, per l’azienda e per gli
individui
✓ Adozione e implementazione di procedure per la classificazione ed il trattamento delle informazioni; per l’utilizzo di sistemi crittografici
in relazione alla trasmissione in rete di documenti informatici; per i controlli tesi a rintracciare eventuali falle o debolezze dei sistemi (es.
vulnerability assessment e penetration test, finalizzati a valutare la tenuta del sistema a fronte di eventuali attacchi esterni)
✓ Identificazione di ruoli e responsabilità del trattamento dei dati e delle informazioni, con particolare attenzione, ad esempio, ai rapporti
con provider esterni e relative clausole contrattuali con riferimento alla gestione delle misure di sicurezza, al corretto funzionamento dei
sistemi, alla protezione da software pericolosi
✓ Definizione di formali requisiti di accesso e autenticazione a sistema, dei criteri e delle modalità di creazione ed utilizzo delle password, di
procedure per la concessione o la revoca degli accessi ai sistemi informativi;
✓ Tracciatura e registrazione delle attività eseguite su sistemi, applicazioni e reti, potenzialmente lesive per la sicurezza;
✓ Verifica periodica delle modalità di accesso ai sistemi; dei log di registrazione delle attività sui sistemi, delle eccezioni e degli eventi
concernenti la sicurezza
✓ Definizione e regolamentazione delle attività di gestione e manutenzione dei sistemi
✓ Adozione di meccanismi di protezione da software pericolosi e procedure di controllo della installazione di software sui sistemi operativi
✓ Previsione di ambienti dedicati per i sistemi “sensibili” sia per il tipo di dati contenuti sia per l’impatto sul business
✓ Allestimento di misure di sicurezza per apparecchiature fuori sede, che prendano in considerazione i rischi derivanti dall’operare al di
fuori del perimetro dell’organizzazione
✓ Previsione di controlli sistematici su: rete aziendale e informazioni che vi transitano, instradamento (routing) della rete, installazione di
software sui sistemi operativi
✓ …

- 41 -
B. Processo sensibile: Rapporti con la P.A.
Impatto
✓ Gestione del processo di creazione, trattamento e archiviazione di documenti

elettronici con valore probatorio
✓ Gestione dei pagamenti elettronici da e verso l’esterno (ivi inclusi quelli dovuti
alla P.A.)
✓ Gestione dei certificati digitali rilasciati da parte di un ente certificatore
✓ Gestione della sicurezza fisica e logica dei dati
Protocolli di
controllo
✓ Adozione e implementazione di specifiche misure che prevedano:

▪ individuazione di ruoli e responsabilità di documenti, dati ed elenchi;
▪ definizione delle modalità di raccolta e approvazione della documentazione da trasmettere alle autorità
pubbliche;
▪ definizione di attività di monitoraggio per la completezza delle informazioni da comunicare;
▪ definizione e adozione di misure tecniche per garantire adeguati livelli di sicurezza/ riservatezza nel
trattamento delle informazioni;
▪ individuazione delle modalità comportamentali operative in caso di effettuazione di attività
ispettive/vigilanza da parte delle autorità preposte
▪ ecc
✓ Definizione di modalità di accesso ai sistemi informatici aziendali mediante procedure di autorizzazione (es.
concessione dei diritti di accesso ad un soggetto soltanto a seguito della verifica dell’esistenza di effettive
esigenze)
✓ Adozione di procedure di validazione delle credenziali complesse e previsione di modifiche periodiche
✓ Adozione di misure di protezione dell’integrità delle informazioni messe a disposizione su un sistema pubblico
per prevenire modifiche non autorizzate
✓ Implementazione di misure di protezione dei documenti elettronici (es. firma digitale)

✓ …

- 42 -
C. Processo sensibile: Tutela della Proprietà Intellettuale ed Industriale
Impatto
✓ Gestione delle licenze software aziendali
✓ Gestione degli output di sistema e dei dispositivi di memorizzazione (es. USB, CD)
Protocolli di
controllo
✓ Adozione e implementazione di procedure per garantire che l’utilizzo di materiali e/o software eventualmente coperti
da diritti di proprietà intellettuale e/o copyright sia conforme alle disposizioni di legge e contrattuali
✓ Controlli di individuazione, prevenzione e protezione da software dannosi (virus) nonché di procedure per la
sensibilizzazione degli utenti
✓ …
D. Processo sensibile: Gestione dei rapporti con terze parti – Approvvigionamento di beni, lavori e
servizi
Impatto
✓ Gestione dei sistemi di autenticazione e modifica dei dati contenuti nelle banche
dati elettroniche, nei sistemi gestionali e di produzione (anche legati ad
approvvigionamento di beni e/o servizi)
✓ Gestione e protezione delle reti
Protocolli di
controllo
✓ Definizione di ruoli e responsabilità nella gestione delle modalità di accesso del personale dipendente (user) ai sistemi
informativi aziendali (banche dati, sistemi gestionali e di produzione)
✓ Definizione di meccanismi di monitoraggio del traffico e di tracciatura degli eventi di sicurezza sulle reti, da parte degli
utenti e degli amministratori di sistema, nel rispetto delle segregazioni dei compiti e dei ruoli assegnati
✓ Predisposizione di misure volte alla protezione dei documenti elettronici (es. firma digitale)
✓ Definizione dei requisiti di autenticazione ai sistemi per l’accesso ai dati e per l’assegnazione dell’accesso remoto agli
stessi da parte di soggetti terzi quali consulenti e fornitori nelle operazioni di approvvigionamento di beni e /o servizi

- 43 -
E. Processo sensibile: Gestione della contabilità – Gestione della Fatturazione attiva
Impatto
✓ Gestione della sicurezza fisica e logica dei dati
✓ Gestione dei profili utente e del processo di autenticazione
Protocolli di
controllo
✓ Definizione e attuazione di un processo di autorizzazione per le strutture di elaborazione delle informazioni e di una
ottimale Segregation of Duties in relazione alla gestione dei cicli di fatturazione (attiva / passiva)
✓ Definizione di procedure per la tracciabilità e il controllo degli accessi, nonché delle attività critiche svolte tramite i
sistemi informatici aziendali (tracciamento log a sistema)
✓ …
F. Processo sensibile: Gestione delle Risorse Umane
Impatto
✓ Gestione e protezione delle postazioni di lavoro
✓ Gestione ed impiego di password di accesso alle caselle e-mail dei dipendenti
Protocolli di
controllo
✓ Previsione di strumenti normativi che dispongano l’adozione di controlli al fine di prevenire accessi non autorizzati,
danni e interferenze ai locali e ai beni in essi contenuti tramite la messa in sicurezza delle aree / postazioni di lavoro e
delle apparecchiature da utilizzare
✓ Definizione di procedure che prevedano la rimozione dei diritti di accesso al termine del rapporto di lavoro
✓ Inclusione negli accordi con terze parti e nei contratti di lavoro di clausole di protezione e non divulgazione delle
informazioni
✓ …

- 44 -
3.5. Best practice di riferimento
In relazione alle best practice di riferimento, va preliminarmente ricordato come gli standard riconosciuti
a livello internazionale non siano esclusivamente riconducibili a esigenze di prevenzione di reati
informatici (né tantomeno di reati 231).
Sono stati invece definiti standard più ampi, nell’ambito dei Sistemi di gestione della security e della
sicurezza delle informazioni, tra cui a titolo indicativo e non esaustivo gli standard NIST (il più importante
dei quali per la materia in esame è il SP 800-53), gli standard ISO (quali ISO 27001, ISO 27002, ISO 27017,
ISO 27017, ISO 27017, ISO 22301, ISO 28000), nonché lo standard di riferimento in materia di gestione
dei controlli ITGC secondo il framework COBIT, che dovrebbero essere certamente tenuti in
considerazione per costruire un Modello 231 efficace dal punto di vista organizzativo, operativo e
tecnologico, con riferimento allo specifico sotto-insieme di condotte penalmente rilevanti poste in essere
da soggetti interni all’azienda (insider) a vantaggio o nell’interesse della stessa.
Pertanto, l’adesione agli standard internazionali, in particolare allo Standard ISO 27001 (norma
internazionale per i Sistemi di Gestione della Sicurezza delle Informazioni, denominata anche SGSI) e allo
Standard ISO 27002, ovvero ad altri standard che rispondano a specifiche esigenze di business (ad
esempio, un Cloud Provider potrà fare riferimento alle norme ISO/IEC 27017 e ISO/IEC 27018), può
rappresentare un elemento centrale nello sforzo prevenzionistico orientato a disegnare e implementare
un modello organizzativo efficace ed efficiente nel prevenire specificamente rischi di commissione di reati
informatici.
Molto utile, a titolo di esempio, può essere anche l’Annex B della norma ISO/IEC 27017:2015, che fa
riferimento ai rischi per la sicurezza relativi al cloud computing e che ha un focus specifico sia sul cloud
service customer (CSC) sia sul cloud service provider (CSP): è una norma internazionale che definisce i
requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, i.e.
Information Security Management System) e include aspetti relativi alla sicurezza logica, fisica ed
organizzativa a livello aziendale.
Allo stesso modo, è utile richiamare il rispetto di leggi e regolamenti applicabili alla materia della
protezione e della sicurezza di dati personali e sistemi informatici85. La conformità rispetto alla normativa
in materia di protezione dei dati personali può costituire infatti – come si illustrerà nel successivo Cap. 5
– un efficace presidio anche ai fini della prevenzione dei reati presupposto di cui all’art. 24-bis del Decreto.
Infine, si sottolinea che il rispetto di framework e standard internazionalmente riconosciuti in tema di ICT
Security Governance, Management & Compliance, rappresenta un elemento qualificante ai fini della
predisposizione di possibili procedure di prevenzione e dell’implementazione di un adeguato sistema di
controllo.
In sintesi, per quanto la mera adesione a linee guida e standard di riferimento di per sé non integri una
condizione esimente per la responsabilità degli enti, una corretta implementazione di tali Sistemi di
Gestione, riconosciuti anche a livello internazionale come standard di riferimento, rappresenta un fattore
fortemente abilitante per una migliore organizzazione, orientata al contenimento dei rischi in ambito
informatico/telematico a 360 gradi, ivi inclusi i rischi-reato ex art. 24-bis del D.Lgs. 231/2001.
85
Ad esempio: Regolamento UE n. 679/2016, D.Lgs. 196/2003, provvedimenti del Garante Privacy, regolamenti e
procedure sugli abusi di mercato, artt. 4 e 8 della legge n. 300 del 1970, ecc…
- 45 -
Capitolo 4 - L’incremento dei rischi in tema cybersecurity nel
contesto pandemico
4.1. Premessa
Al fine di individuare la funzione che un Modello 231 può assumere nel quadro della prevenzione dei
rischi-reato informatici all’interno del contesto pandemico, è anzitutto necessario riflettere sul
cambiamento radicale che la pandemia ha portato nella gestione dell’attività di risk management da parte
delle aziende.
Nel contesto pre-pandemico l’attività di prevenzione delle condotte criminose, realizzata attraverso il
Modello 231 e le misure di sicurezza da esso previste, si esplicava all’interno del perimetro fisico
dell’azienda stessa, mediante la codificazione di appositi flussi informativi sulla gestione degli strumenti
informatici agli OdV,86 nonché tramite procedure di segnalazione e regole a tutela dei segnalanti (c.d.
whistleblower). A causa degli effetti del Coronavirus, gran parte dell’attenzione delle imprese si è spostata
sulla prosecuzione e gestione delle medesime attività mediante il lavoro da remoto (c.d. remote working).
Il lavoro da remoto, se da un lato ha consentito alle aziende di continuare la propria attività preservando
la salute dei propri dipendenti e collaboratori dai rischi del contagio da COVID-19, dall’altro ha (o avrebbe)
dovuto necessariamente accompagnarsi a misure di sicurezza rafforzate, per garantire la sicurezza dei
sistemi e delle informazioni trattate.
I dipendenti hanno dovuto relazionarsi con il lavoro a distanza e con nuovi strumenti per la condivisione
di documenti che, se da un lato potrebbero non essere stati correttamente testati e messi in sicurezza
dalle organizzazioni, alla luce sia dei profili di rischio cyber tout-court sia delle possibili condotte di reato
presupposto 231, dall’altro non sono mai stati così fondamentali per lo svolgimento di tante attività che
in passato venivano svolte (quasi) esclusivamente in presenza.
In periodo pre-pandemico, le misure tecniche, operative e organizzative implementate dalle società per
mitigare il rischio di reati rilevanti ai sensi del D.Lgs. 231/2001 potevano primariamente concentrarsi sulle
infrastrutture IT rientranti nel perimetro fisico dell’azienda; oggi le società hanno dovuto concentrare i
propri sforzi di mitigazione e contenimento del rischio reato anche (e soprattutto) sulle condotte che
possono colpire il perimetro logico dell’azienda, in quanto realizzabili anche in situazione di remote
working. Particolare importanza in questo contesto è assunta dai c.d. reati informatici contemplati
dall’art. 24-bis del Decreto 231 sin dal 200887 e che oggi assumono rilevanza ancora maggiore a fronte
del loro aumento esponenziale negli anni recenti e, in particolar modo, nel periodo pandemico.
Come vedremo meglio nel prosieguo (v. infra, par. 4.4), le minacce cyber sono divenute strumenti
privilegiati per la commissione di reati informatici attraverso condotte criminose di tipo nuovo. Nella
stesura o nell’aggiornamento dei Modelli 231, le aziende sono pertanto chiamate ad effettuare un
esercizio di prevenzione sensibilmente diverso rispetto al passato, in quanto riferito a queste nuove
tipologie di condotte.
86
Sul punto, si rimanda al Cap. 6.
87Come anticipato nei capitoli precedenti, si tratta, in particolare, dei delitti di cui agli artt. 491-bis, 615-ter, 615-
quater, 615-quinquies, 617-quater, 635-bis, 635-ter, 635-quater e 640-quinquies del codice penale.

- 46 -
Al fine di meglio contestualizzare le esigenze di prevenzione delle condotte di cybercrime mediante
adozione (o aggiornamento) di un Modello 231, è necessario inquadrare queste ultime a livello generale.
Solo dopo un rapido excursus sulla recente evoluzione degli attacchi cyber dovuti al contesto pandemico
e una breve tassonomia dei più comuni attacchi, ci concentreremo dunque su quelli che possono essere
gli strumenti e le tecniche di prevenzione più rilevanti in sede di redazione (o aggiornamento) di Modelli
231.
4.2. Cambiamenti nel panorama delle minacce cyber

Gli attacchi informatici sono aumentati negli anni 2020 e 202188 non solo in termini di vettori e numeri,
ma anche in termini di impatto. La pandemia COVID-19 ha avuto importanti riflessi e conseguenze sul
panorama delle minacce alla sicurezza informatica. Come sopra anticipato, uno degli sviluppi più rilevanti
scaturito dalla pandemia COVID-19 è stato il passaggio a un modello di remote working.
Questa tendenza ha aumentato il raggio d’azione degli attacchi, facendovi rientrare anche i c.d. “home
office”. Infatti, l’aumento dell'uso dei dispositivi mobili e dell'accesso remoto ai sistemi aziendali ha
favorito attacchi diretti al perimetro software e hardware delle aziende.
In questo panorama di crescita esponenziale degli attacchi, particolare attenzione merita il rafforzarsi del
c.d. Social Engineering, ovvero quella tipologia di attacchi che sfrutta il fattore umano come trigger di
ingresso nel sistema di sicurezza, grazie in particolare al forte clima di incertezza e polarizzazione venutosi
a creare durante la pandemia (v. infra, par. 4.3.).
4.3. Breve tassonomia delle minacce cyber

Al fine di meglio inquadrare il panorama delle più comuni minacce informatiche, è utile analizzare alcune
delle macrocategorie più comuni cui ricondurre le principali tipologie di attacco:
1. Malware
Le minacce di questa tipologia sfruttano software malevoli (c.d. malware)89 che vengono sfruttati
per lanciare un attacco. All’interno di questa categoria, che possiamo riconoscere come quella
degli “attacchi cyber” propriamente detti, ritroviamo alcune delle minacce più comunemente
note, quali:
1.1. Virus: i virus sono una particolare tipologia di malware che, una volta attivati (magari
attraverso un semplice “click” dell’utente), si autoreplicano, attaccandosi a specifiche
tipologie di file, al fine di modificare, distruggere, copiare o danneggiare in altro modo i
dati bersaglio dell’attacco;
1.2. Ransonmware: il ransomware è l’attacco attraverso il quale l’attaccante cripta i dati di
un'organizzazione (compromettendone quindi la disponibilità) al fine di chiedere il
pagamento di un riscatto (da qui il nome “ransom-ware”) per ripristinarne l'accesso;
1.3. Denial of Service (DoS): gli attacchi di denial of service hanno lo scopo di rendere
indisponibile una rete o un servizio interrompendone il flusso e, conseguentemente,
causando perdite di produttività e risorse economiche e danneggiamento dei
meccanismi di supply chain. Gli attacchi di DoS possono essere lanciati anche su larga
88
Cfr. ENISA Threat Landscape, 2021
89
Un malware può essere sinteticamente definito come una stringa di codice che viene utilizzata per arrecare
danno al sistema colpito, attraverso il furto di dati, il sorpasso di controlli di accesso o la compromissione del
sistema stesso o di alcune sue componenti.
- 47 -
scala, colpendo più bersagli in modo coordinato (in tal caso, si parla di Distributed Denial
of Service).
2. Social Engineering
Come anticipato in precedenza, gli attacchi di Social Engineering sono aumentati
esponenzialmente durante il periodo pandemico soprattutto grazie alla loro caratteristica
principale, ovvero il fattore psicologico su cui fa perno l‘attaccante al fine di ottenere informazioni
da parte della vittima dell’attacco. All’interno di questa categoria ritroviamo diverse tipologie di
attacco:
2.1. Baiting: le condotte di baiting sfruttano curiosità e avidità della vittima, in quanto sono
raggiri volti a far credere che si possa ottenere una ricompensa di qualche tipo rivelando
determinate informazioni.
2.2. Pretexting: le condotte di pretexting sfruttano un diversivo che ha lo scopo di indurre
la vittima a divulgare informazioni credendo di trovarsi in una situazione nella quale è
doveroso divulgarle;
2.3. Phishing: il phishing è forse la tipologia di attacco cyber più diffuso, in quanto suo
bersaglio possono essere anche persone comuni, non solo grandi aziende o soggetti in
possesso di informazioni sensibili. Esso è una forma di attività fraudolenta volta a
sottrarre informazioni con l’inganno, attraverso l’invio di e-mail o altre forme di
comunicazione da parte dell’attaccante, che finge di essere un'altra persona o
un’organizzazione. Lo scopo è convincere il destinatario a eseguire quello che viene
richiesto, ad esempio, nella e-mail, che sia inviare determinate informazioni o
semplicemente cliccare su un link o un file allegati ad essa, attivando l’installazione di
malware. Le condotte di phishing possono assumere diverse forme e avere diversi
obiettivi, come persone appartenenti al top management dell’organizzazione (in questo
caso si parla di whaling), e possono essere effettuati anche mediante una vera e propria
telefonata (in tal caso di parla di vishing).
3. Human Factor
Il fattore umano è forse la componente principale della sicurezza informatica, in particolare con
riferimento alla c.d. internal threat, ovvero quelle minacce che derivano da coloro che hanno
accesso diretto alle informazioni rappresentanti il potenziale oggetto di un attacco.
Non a caso uno dei principali mantra in tema di cybersecurity è che “non esiste una soluzione
tecnica, controllo o contromisura che possa rendere un sistema informatico più sicuro rispetto
al comportamento e ai processi messi in atto dagli attori di quel sistema”.
Sul punto è necessario precisare che tali minacce non derivano affatto da un atteggiamento ostile
dei dipendenti, al contrario sono causate principalmente da mancanza di consapevolezza
combinata con policy e procedure di sicurezza mal progettate. Come vedremo, proprio questo
punto rappresenta una potenziale area dove insistere, nell’ambito di un Modello 231, nella
prevenzione di reati informatici commessi mediante minacce cyber.
4.4. Il ruolo della cybersecurity nell’attività di prevenzione dei Modelli 231

Come illustrato, da un lato la crescita esponenziale delle minacce cyber durante il periodo pandemico ha
portato alla luce nuove sfide nell’ambito della prevenzione delle condotte criminose coperte dall’azione
dei Modelli 231, dall’altro la pericolosità rappresentata da tali minacce è stata ulteriormente aggravata
prima dalla esigenza, poi dalla normalizzazione del remote working.

- 48 -
È necessario dunque chiedersi quale sia il ruolo preventivo dei Modelli 231.
Sul punto è importante ricordare che, per quanto le minacce cyber possano essere veicolo di condotte
particolarmente dannose anche su vasta scala e introducano nuovi scenari che dovranno necessariamente
essere affrontati, ai fini del D.Lgs. 231 esse non rappresentano nuove fattispecie di reato presupposto,
ma nuovi mezzi attraverso i quali porre in essere le condotte già previste dal Decreto.
Di conseguenza, le aziende, nella redazione o aggiornamento dei Modelli 231, dovranno considerare che,
tramite strumenti quali phishing, attacchi malware e (soprattutto) social engineering, possono essere
realizzati non solo reati di danneggiamento di informazioni, dati e programmi informatici e telematici,
frode informatica e violazione delle norme in materia di Perimetro di sicurezza nazionale cibernetica, 90
ma anche delitti che esulano dall’alveo dei reati informatici, come la truffa, i reati societari, o i reati con
finalità di terrorismo.
4.5. Gli strumenti a disposizione delle aziende per adattare il Modello 231 alle
esigenze del panorama della cybersecurity
A questo punto è lecito domandarsi quali siano gli strumenti a disposizione delle aziende per raggiungere
questo standard di prevenzione.
È necessario precisare che non esiste una formula predefinita (né predefinibile) per raggiungere un livello
di protezione assoluta che possa definitivamente prevenire la realizzazione di reati presupposto mediante
minacce cyber. Tuttavia, le aziende - come i governi91 e le organizzazioni internazionali - possono avvalersi
di diverse metodologie e best practice volte specificatamente a creare un sistema di prevenzione e
protezione in ambito cybersecurity, in modo da costruire una solida cybersecurity awareness. I presidi
sviluppati e applicati alla luce di tali best practice potranno poi essere valorizzati nel Modello 231.
Tra i possibili fattori funzionali al raggiungimento di questo obiettivo vi sono:
1. Istruzione e Formazione: fare in modo che la formazione sulla sicurezza sia parte del processo
di onboarding di un'organizzazione, legare i requisiti di assunzione o le prestazioni alla
consapevolezza degli standard di sicurezza richiesti dall’organizzazione;
2. Security Awareness Program: realizzare un vero e proprio programma di security awareness
che tenga in considerazione:
i. l’ambiente di lavoro dell’organizzazione;
ii. il livello delle possibili minacce cui l’organizzazione è esposta;
iii. le esigenze di protezione dei dati trattati dall’organizzazione.
Nella stesura di questo tipo di programmi è indispensabile tenere a mente che le persone
sono la prima linea difensiva contro le minacce cyber. Le persone stesse devono essere al
centro della costruzione di un perimetro di sicurezza efficace ed efficiente. Ogni membro
dell’organizzazione deve essere a conoscenza delle policy in vigore, dei loro cambiamenti
90
Crf. Cap. 1.
91
Per le best practice di riferimento adottate dal Governo italiano, nell’ambito della costruzione del Perimetro
Nazionale di Sicurezza Cibernetica, si vedano anche il documento “Strategia Nazionale di Cybersicurezza 2022-
2026” dell’Agenzia per la Cybersicurezza Nazionale, approvato il 18 maggio 2022 nonché il Secondo Protocollo
Addizionale alla Convenzione di Budapest sulla Criminalità informatica, approvato in data 12 maggio 2022, che
mira a rafforzare ulteriormente la cooperazione in materia di criminalità informatica e la raccolta di prove in forma
elettronica di qualsiasi reato ai fini di indagini penali specifiche mediante strumenti aggiuntivi di assistenza
reciproca più efficiente e altre forme di cooperazione tra autorità competenti, fornitori di servizi e altri soggetti in
possesso delle informazioni pertinenti.
- 49 -
eventuali e di cosa comporta la loro violazione. È necessario inoltre rendere il personale
edotto della dedizione dei soggetti in posizione apicale (il c.d. top management
dell’organizzazione) in questo tipo di programmi, nonché dell’importanza che viene loro
attribuita dall’azienda.
3. Politiche: una buona security policy illustra gli obiettivi, le regole, i comportamenti e i requisiti
cui il sistema di sicurezza e le relative componenti devono conformarsi. Essa assolve alle
seguenti esigenze:
i. dimostrare l’impegno dell’organizzazione nel raggiungimento di uno standard di
cybersecurity accettabile;
ii. formalizzare regole di comportamento;
iii. stabilire le conseguenze sanzionatorie di eventuali violazioni delle disposizioni;
iv. sancire principi di gestione e supporto del personale addetto alla cybersecurity.
4. Costante processo di risk management: identificare e censire tutte le vulnerabilità
riscontrate nel sistema che possono essere sfruttate dagli attaccanti al fine di realizzare
condotte criminose, i rischi correlati e i relativi owner, nonché le relative azioni di mitigazione
e riduzione di tali rischi.
Le organizzazioni possono inoltre avvalersi di standard e linee guida riconosciute a livello internazionale
che codificano i principi di cyberseucurity maggiormente noti. Tra queste ricordiamo:
i. ISO 27001: standard per la realizzazione di un framework di sicurezza delle
informazioni, elaborato dal Comitato ISO;
ii. National Cybersecurity Workforce Framework: elaborato dal NIST (National Institute
of Standards and Technologies statunitense);
iii. CIS Critical Security Controls: elaborato dal Center for Internet Security.
4.6. Conclusioni
Quelli riportati rappresentano solo alcuni degli strumenti a disposizione delle aziende al fine di
implementare un Modello 231 maggiormente efficace dal punto di vista della previsione delle condotte
di reato realizzate mediante minacce cyber.
Il panorama delle minacce cyber, di cui quelle descritte rappresentano solo una parte, non ha comportato
un ampliamento del catalogo dei reati presupposto 231 con nuove fattispecie, ma l’aumento esponenziale
di tali minacce durante il periodo pandemico ha comunque determinato la presa di coscienza di un mondo
“sommerso”: le nuove modalità di commissione di reati già conosciuti necessitano pertanto di un’attività
di prevenzione specifica, in gran parte sconosciuta (o non sufficientemente esplorata) fino ad oggi.

- 50 -
Capitolo 5 - Reati informatici e adozione di misure di sicurezza
in ottica privacy
5.1. Principi cardine della compliance privacy

I dati personali rappresentano un bene giuridico che trova piena tutela grazie alla normativa europea, il
Regolamento n. 679/2016 (“GDPR”), e a quella italiana, il D.Lgs. 196/2003 (“Codice Privacy”), oltre che in
numerose altre fonti di diverso rango, dalla Carta dei diritti fondamentali dell’Unione Europea fino alle
linee guida delle Autorità a livello sia europeo che italiano.
Il GDPR ha introdotto un approccio basato sul rischio (risk based approach) con riferimento alle attività di
trattamento poste in essere da un’organizzazione che sia soggetta a tale Regolamento. In virtù di tale
approccio, ciascun titolare del trattamento deve dotarsi di un modello organizzativo tagliato sulla propria
struttura e sui trattamenti di dati personali che svolge in concreto, che presentano livelli di rischio
differenti e variabili.
Ne discende che difficilmente esisteranno modelli organizzativi tra loro uguali, se ben strutturati: ogni
entità deve organizzarsi in modo non solo da proteggersi dai rischi che in concreto può correre con
riferimento alla gestione dei dati ma anche, se possibile, in modo tale che tale governance del dato
consenta all’organizzazione di operare in modo efficiente e competitivo.
Il GDPR permette grande libertà ai titolari del trattamento nella strutturazione del modello organizzativo
privacy. Precedentemente, in Italia, in base a quanto prevedeva il Codice Privacy ante riforma (prima delle
modifiche introdotte dal D.Lgs. 101/2018 di adeguamento al GDPR), vigeva un approccio più formalistico:
si ricorderà la rigidità dell’abrogato Allegato B, il disciplinare tecnico in materia di misure minime di
sicurezza.
La flessibilità che la normativa europea concede ai titolari del trattamento deve però essere conciliata con
un altro importante principio del GDPR, l’accountability. Infatti, l’articolo 5 del Regolamento europeo
prevede che debbano essere rispettati alcuni importanti e alti principi, quando si trattino dati personali:
liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione
della conservazione, integrità e riservatezza. Viene però richiesto altresì al titolare di essere in grado di
provare di aver rispettato i suddetti principi: ciò impone, quindi, di “mettere in campo” una serie di
iniziative e di predisporre una quantità di documenti nell’ottica di tutelare il titolare da contestazioni in
merito all’adeguatezza del proprio impianto privacy e da sanzioni e richieste di risarcimento.
Per dimostrare la conformità con il GDPR, i titolari del trattamento devono altresì adottare politiche
interne e attuare misure tecniche e organizzative che soddisfino anche i principi della protezione dei dati
fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default). Tali misure
potrebbero consistere, tra l’altro, anche nell’implementazione di efficaci misure di sicurezza, nel ridurre
al minimo il trattamento dei dati, nello pseudonimizzarli, nell’offrire trasparenza, nel limitare il
trattamento dei dati a quelli necessari in base a specifiche finalità, nel non rendere accessibili i dati a un
numero indefinito di persone, nel consentire all’interessato di controllare il trattamento dei suoi dati. Ogni
organizzazione, peraltro, dovrebbe tenere conto del diritto alla protezione dei dati fin dalle prime fasi
dello sviluppo di prodotti, servizi e applicazioni.
Tenendo conto di tutte le circostanze rilevanti rispetto alla situazione concreta (tra cui il contesto e le
finalità del trattamento, lo stato dell’arte, la natura, l’ambito di applicazione, la probabilità e la gravità dei

- 51 -
rischi, i costi attuativi, ecc.) i titolari devono anche mettere in atto misure di sicurezza adeguate, tecniche
e organizzative. Tale operazione deve avvenire sia al momento di determinare i mezzi del trattamento
che nell’ambito del trattamento stesso. Il concetto di “adeguatezza” è per definizione indefinito e richiede
quindi di porre in essere attente valutazioni – legali, organizzative e tecniche – e di documentarle, in linea
con quanto sopra già evidenziato.
5.2. Illeciti penali privacy e reati informatici

La normativa vigente relativa alla protezione dei dati personali non fornisce solo un framework di principi,
ma include altresì una serie di disposizioni di dettaglio, anche rispetto a un certo numero di ipotesi di
illeciti penali. Infatti, il Codice Privacy riformato nel 2018 prevede (al Titolo III, Capo II) alcune fattispecie,
diverse dai reati informatici richiamati dal D.Lgs. 231/2001 all’articolo 24-bis, segnatamente le seguenti:
i) trattamento illecito di dati (art. 167), ii) comunicazione e diffusione illecita di dati personali oggetto di
trattamento su larga scala (art. 167-bis), iii) acquisizione fraudolenta di dati personali oggetto di
trattamento su larga scala (art. 167-ter), iv) falsità nelle dichiarazioni al Garante e interruzione
dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (art. 168).
Come anticipato nel Cap. 1, l’originario comma secondo dell’articolo 9 del D. L. 93/2013 includeva nel
“Catalogo 231” anche i delitti in materia di privacy come il trattamento illecito dei dati e le false
comunicazioni al Garante. Questa previsione è stata tuttavia soppressa in sede di conversione ad opera
della L. 119/2013. Il D.Lgs. 231/01 non opera perciò alcun rinvio ai succitati reati in materia di protezione
dei dati personali; richiama però, all’articolo 24 bis, una serie di articoli del Codice Penale, che includono
anche l’accesso abusivo ad un sistema informatico o telematico (art. 615-ter), l’installazione di
apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche
(art. 617-quinquies), il danneggiamento di informazioni, dati e programmi informatici (art. 635-bis) o di
sistemi informatici o telematici (art. 635-quater).
Va fin da subito rilevato che le fattispecie previste nei reati informatici quasi sempre avranno un impatto
rispetto ai dati personali e possibili (nonché probabili) conseguenze negative sui diritti e le libertà degli
interessati, che sono ciò che la normativa privacy protegge. Si pensi, ad esempio, ad un accesso abusivo
ad un sistema informatico, la fattispecie di cui all’art. 615-ter c.p.. Benché questo sia protetto da misure
di sicurezza, nell’ambito della condotta quasi certamente verranno sottratti o distrutti dati e vi sarà anche
un’alta probabilità che la natura di tali dati sia anche “personale”: è dato personale qualsiasi informazione
riguardante una persona fisica identificata o identificabile.
Dall’esame dei reati informatici emerge che le suddette norme tutelano in via indiretta anche la
riservatezza e l’integrità dei dati personali, che sono inevitabilmente sottoposti ad elevato rischio al
concretizzarsi di tali fattispecie. Si tratta infatti di ipotesi in cui è possibile ravvisare un possibile data
breach, come di seguito precisato.
I reati informatici potranno senz’altro essere commessi con maggiore probabilità nei casi in cui risulti
mancante, o poco efficace, il sistema di protezione dei dati personali implementato dal titolare del
trattamento, inclusivo anche di adeguate misure di sicurezza, formazione del personale e supervisione da
parte di soggetti designati (es. data manager), coinvolgimento di responsabili del trattamento affidabili,
controllo da parte del DPO, ove presente, eccetera.
Dal confronto tra le diverse fattispecie previste, da un lato, dal Codice Penale (richiamate nel Decreto 231)
e, dall’altro, dal Codice Privacy, si può notare come un tipico “modello privacy” non sembrerebbe in
astratto del tutto idoneo a prevenire il verificarsi dei reati di trattamento illecito dei dati previsti dal Codice
Privacy, vista la loro specificità.
D’altra parte, invece, una buona organizzazione privacy potrebbe essere in ipotesi anche idonea a
prevenire quei reati informatici che trovano collocazione al di fuori della disciplina privacy e che possono

- 52 -
portare alla punizione dell’ente, al pari di quanto accade in ambito privacy, dove è il titolare – in quanto
entità anche non personale – a essere sanzionato.
5.3. Modello organizzativo privacy per la prevenzione dei rischi

Il modello di protezione dei dati deve essere costruito sulle base dei principi enunciati nel precedente
paragrafo 5.1. Tra questi assume particolare rilevanza il risk based approach: tra i possibili rischi cui è
soggetto un ente non è possibile trascurare né i reati informatici né quelli previsti dal Codice Privacy.
La probabilità e la gravità dei rischi privacy dovrebbero essere determinate con riguardo alla natura,
all’ambito di applicazione, al contesto e alle finalità del trattamento e tali valutazioni dovrebbero essere
svolte sia prima che abbia inizio il trattamento che nel corso dello stesso.
I rischi privacy possono includere, tra gli altri, anche il verificarsi di data breach (eventualmente generati
da reati informatici), o furti di identità, o pregiudizi alla reputazione dell’azienda o dell’ente pubblico, o
perdite finanziarie, o richieste di risarcimento da parte di interessati, o sanzioni da parte dell’Autorità di
controllo (di importo molto elevato, fino a venti milioni di euro o al 4% del fatturato annuo, in base a
quanto prevede il GDPR).
Tenuto conto di ciò, il titolare del trattamento deve mettere in atto misure tecniche e organizzative
adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al
GDPR, riesaminando e aggiornando tali misure periodicamente.
Tra le misure di tipo organizzativo si possono includere anche l’individuazione di specifici ruoli e funzioni
in ambito privacy (es. delegati, autorizzati, designati, amministratori di sistema) e la formazione
“continua” di tali figure, la nomina di un Data Protection Officer (DPO), l’adozione di un registro delle
attività di trattamento e di una serie di linee guida e procedure (ad esempio, per gestire eventuali incidenti
di sicurezza e le richieste di esercizio dei diritti degli interessati, per disciplinare la conservazione e la
cancellazione dei dati e l’uso degli strumenti aziendali, ecc.) o, ancora, lo svolgimento di valutazioni di
impatto sulla protezione dei dati o di altre tipologie di assessment (collegate anche ai trasferimenti di dati
fuori dall’UE, in giurisdizioni non ritenute adeguate dalla Commissione europea).
Tra le misure di tipo tecnico si possono annoverare, a titolo esemplificativo, tecniche di
pseudonimizzazione, la cifratura dei dati personali, procedure volte a ripristinare tempestivamente
l’accesso ai dati in caso di incidenti o a testare l’efficacia delle misure e la resilienza dei sistemi.
Sebbene sia aumentata negli scorsi anni la consapevolezza dell’elevato rischio che presentano le attività
di trattamento dei dati personali e della necessità, quindi, di salvaguardare l’organizzazione, è ancora
difficile trovare modelli privacy realmente customizzati o pienamente implementati o attentamente
presidiati o correttamente integrati con ulteriori e diversi modelli, incluso quello 231, aventi analoghe o
simili finalità, inclusa la gestione del rischio.
Si noti come anche il MOG, al pari del modello organizzativo privacy, sia caratterizzato dall’approccio
basato sul rischio, che consente di adottare prassi standardizzate volte a garantire la conformità delle
attività imprenditoriali alle normative vigenti e di valutare i rischi sottesi all’esercizio di tali attività.
Risulta quindi comune alle due “discipline” la mappatura dei rischi, che riguardano principalmente le
violazioni nel trattamento dei dati, in ambito privacy, e la possibile commissione di reati presupposto
nell’interesse o a vantaggio dell’ente, in ambito 231.
5.4. Data breach policy

L’articolo 4 del GDPR definisce il data breach come una violazione di sicurezza che comporta
accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata
- 53 -
o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Se ogni data breach è certamente
un incidente di sicurezza, non ogni incidente di sicurezza è un data breach: lo sono solo quelli che
coinvolgono dati personali.
La gestione di questo tipo di temi da parte di ogni organizzazione assume particolare rilevanza nell’ottica
sopra anticipata di adozione di un approccio basato sul rischio e di rispetto del principio di accountability,
anche in considerazione della possibile configurazione quali data breach delle fattispecie richiamate
dall’art. 24-bis del D.Lgs. 231/2001.
Tra le procedure facenti parte del modello privacy di un ente deve essere opportunamente inclusa anche
una data breach policy. Tale documento può infatti aiutare il titolare del trattamento e le figure che,
all’interno della società, hanno un ruolo cruciale in tali situazioni (come la funzione IT o quella compliance
o quella di volta maggiormente coinvolta dall’incidente) nell’individuazione degli step da seguire, delle
relative tempistiche da rispettare e delle persone da coinvolgere, incluso il DPO, ove nominato. La
procedura può altresì suggerire la differente impostazione da seguire nei casi in cui l’organizzazione agisca
in qualità di titolare piuttosto che in quella di responsabile del trattamento.
Con riferimento alla valutazione della gravità dell’incidente, potrebbero essere adottate delle formule che
aiuterebbero il titolare nell’individuare le azioni di rimedio da adottare: queste potrebbero includere la
sola annotazione in un apposito registro del data breach, nei casi meno gravi, e potrebbero invece arrivare
anche alla notifica all’Autorità di controllo della violazione (entro 72 ore dalla sua conoscenza), ove sia
probabile che questa presenti un rischio per i diritti e le libertà delle persone coinvolte (il Garante Privacy
ha creato a tal fine un’apposita procedura telematica), informando anche gli stessi interessati, quando il
livello di rischio sia ancora più elevato.
La procedura può essere corredata da alcuni strumenti operativi (incluso un modello di registro dei data
breach) volti a consentire un intervento il più rapido possibile ai soggetti coinvolgi nella gestione
dell’incidente, visti i tempi stretti previsti in materia dalla legge per la notifica all’Autorità.
Al pari delle altre linee guida e procedure aziendali è opportuno che il personale venga messo al corrente
della policy in oggetto, così da generare consapevolezza e responsabilizzazione, da perseguirsi anche
mediante apposite formazioni, in aggiunta a quelle più generiche sulla compliance privacy.
Un esempio di data breach incluso nelle Linee guida 1/2021 sugli esempi di notifica degli episodi di data
breach dello European Data Protection Board (EDPB) riguarda un attacco tramite ransomware che
provochi la cifratura di tutti i dati, senza possibilità di ripristinarli. Una simile situazione, secondo l’EDPB,
imporrebbe la notifica all’Autorità, a meno che, sempre a titolo esemplificativo, sia disponibile un backup
e sia possibile ripristinare i dati in tempo utile, senza perdita permanente di disponibilità o di riservatezza.
La situazione esemplificata potrebbe integrare – a carico dell’attaccante – gli estremi della fattispecie
penale di cui all’articolo 615-ter c.p., che, lo si ricorda, stabilisce che “Chiunque abusivamente si introduce
in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la
volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”.
Da questo esempio emerge come una corretta impostazione nella gestione del rischio in un’ottica privacy
e di cybersecurity sia complementare rispetto ai processi da implementare per la prevenzione dei reati
informatici presupposti dal D.Lgs. 231/2001.
5.5. DPO a confronto con l’OdV 231

Il GDPR ha introdotto una figura professionale che ha essenzialmente il compito di sorvegliare l’osservanza
della normativa applicabile e delle politiche aziendali in materia di protezione dei dati personali e di fornire
consulenza in merito agli obblighi di legge, oltre che fungere da punto di contatto con l’Autorità di
controllo e cooperare con la stessa, in caso di necessità. Tale soggetto è il Data Protection Officer (DPO) e
trova la sua disciplina negli articoli 37, 38 e 39 del GDPR.

- 54 -
In sintesi, il DPO svolge funzioni consultive e di controllo ma anche formative e informative in tema di
protezione dei dati, affiancando il titolare nella gestione delle questioni che riguardano il trattamento dei
dati personali.
La designazione del DPO è obbligatoria solo in talune ipotesi. In particolare, sono tenute alla nomina tutte
le pubbliche amministrazioni – a prescindere dai dati trattati – e le aziende del settore privato nei casi in
cui il titolare effettui trattamenti che comportino il monitoraggio regolare e sistematico degli interessati
su larga scala ovvero trattamenti su larga scala di categorie particolari di dati (come, ad esempio, i dati
relativi alla salute).
Ad ogni modo, le Autorità di controllo privacy europee, incluso il Garante italiano, in linea di principio
raccomandano di dotarsi di questo importante presidio di legalità, anche aldilà delle ipotesi in cui il GDPR
espressamente prevede l’obbligatorietà della nomina. In un’ottica di accountability, ove si ritenga
opportuno nominare un DPO su base volontaria, dovranno comunque essere rispettate le disposizioni di
cui agli articoli 37 e seguenti del GDPR: lo stato giuridico di questa figura, nonché gli obblighi e le
prescrizioni restano, infatti, le medesime di quelle previste per la designazione obbligatoria.
Il DPO può essere individuato all’interno dell’organizzazione oppure può trattarsi di un consulente
esterno, nominato tramite apposito contratto di servizi. Un soggetto interno è agevolato nella
comprensione delle logiche aziendali ma, per legge, deve essere dotato di autonomia e non devono
sussistere conflitti di interesse, requisiti più facilmente rinvenibili in una figura esterna all’azienda, che
potrà anche relazionarsi con il vertice gerarchico con maggiore libertà.
Il confronto tra la figura del DPO e quella dell’Organismo di Vigilanza (“ODV”), istituita dal D.Lgs. 231/01,
è di notevole interesse. Tra i principali punti di contatto, si può innanzitutto osservare che entrambi gli
organi hanno poteri di iniziativa e controllo nelle aree di rispettivo interesse e collaborano, in forza delle
loro specifiche competenze, con l’ente che li ha nominati, supportandolo in una posizione di sostanziale
indipendenza.
Un’ulteriore analogia che accomuna le due figure è un ampio potere di supervisione. Nel caso del DPO, le
sue verifiche possono essere mirate, ad esempio, sul rispetto da parte delle figure aziendali coinvolte nel
trattamento dei dati delle rispettive responsabilità, sull’efficacia delle procedure implementate
internamente, sull’affidabilità dei terzi coinvolti in operazioni di trattamento, sulle valutazioni d’impatto
svolte dall’ente quale titolare del trattamento, su eventuali data breach, eccetera. In sintesi, una vigilanza
sull’efficacia del modello organizzativo privacy. L’OdV, dal canto suo, è chiamato in primis a verificare il
funzionamento del MOG, la sua osservanza e il suo aggiornamento.
• Sia il DPO che l’OdV devono essere informati e coinvolti da parte della popolazione aziendale in
tutte le questioni rilevanti attinenti alle rispettive aree di competenza: il DPO (ai sensi dell’art. 38,
paragrafo 1, del GDPR) deve essere tempestivamente e adeguatamente coinvolto in tutte le
questioni riguardanti la protezione dei dati personali;
• anche l’OdV, in base a quanto obbligatoriamente previsto nel MOG (ai sensi dell’art. 6, comma 2,
lettera d) del D.Lgs. 231/01), deve essere sempre informato, vista la sua funzione di vigilanza
sull’osservanza del modello stesso.
È doveroso mettere in evidenza che, nello svolgimento di tali funzioni, entrambe le figure sono tenute al
dovere di riservatezza. Tale vincolo è espressamente previsto nel GDPR e nel D.Lgs. 231/01. Più in
dettaglio, l’art. 38, paragrafo 5, GDPR prescrive che “Il responsabile della protezione dei dati è tenuto al
segreto o alla riservatezza in merito all'adempimento dei propri compiti, in conformità del diritto
dell’Unione o degli Stati membri”; in base all’art. 6, comma 2-bis, del D.Lgs. 231/01, i canali di trasmissione
delle segnalazioni all’OdV devono “garantire la riservatezza dell’identità del segnalante nelle attività di
gestione della segnalazione”.
L’OdV, nell’ambito della propria attività, tratterà numerose informazioni, inclusi anche dati personali,
anche di categoria particolare. Ciò posto, ci si è lungamente interrogati circa la qualificazione soggettiva

- 55 -
ai fini privacy di tale organismo. Sul tema è intervenuto il Garante per la protezione dei dati personali, con
il proprio parere del 12 maggio 2020. L’Autorità ha chiarito che l’OdV:
1. pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato
autonomo titolare del trattamento, considerato che i compiti di iniziativa e controllo non sono
determinati dall’organismo stesso, bensì dalla legge, che ne indica i compiti e dall’organo
dirigente, che nel MOG definisce gli aspetti relativi al funzionamento;
2. non essendo distinto dall’ente, ed essendo invece parte dello stesso, non possa essere
considerato responsabile del trattamento (ossia il soggetto che effettua un trattamento “per
conto del titolare”).
Il parere del Garante ha definitivamente sancito che, in ottica privacy, i singoli membri dell’OdV devono
invece essere considerati quali soggetti autorizzati (ai sensi degli artt. 4, 29 e 32 del GDPR e dell’art. 2-
quaterdecies del Codice Privacy). Tali persone, in relazione al trattamento di dati personali da loro svolto,
dovranno attenersi alle istruzioni impartite dal titolare, affinché il trattamento avvenga in conformità ai
principi stabiliti dall’art. 5 del GDPR. Sotto il profilo pratico, occorrerà dunque provvedere a formalizzare
una nomina ad autorizzato del trattamento dei componenti dell’OdV. Il titolare del trattamento dovrà
anche formare tali soggetti affinché possano trattare i dati in conformità alla normativa privacy vigente e
alle procedure aziendali in materia.
Vi è infine un tema rispetto al quale esiste da tempo un dibattito, relativo alla possibilità di ricondurre le
due figure in esame ad unicum operativo. Una scelta in tale senso potrebbe essere dettata, ad esempio,
dalla necessità di limitare i costi, in particolare nel contesto di piccole e medie imprese.
Tuttavia, a parere di chi scrive è opportuno tenere distinte le figure del DPO e dell’OdV, vista soprattutto
la specificità delle normative di riferimento (il framework applicabile in ambito privacy è assai composito
e ampio) e delle competenze richieste (che nel caso del DPO, oltre che giuridiche, devono essere
auspicabilmente anche di tipo tecnico).
Inoltre, per svolgere adeguatamente i rispettivi compiti previsti dalla legge e dalle best practice, occorre
un impegno rilevante anche in termini materiali: non sembra quindi in nessun caso possibile ipotizzare un
“ruolo part time” per coprire le importanti funzioni del DPO e dell’OdV.
Tuttavia, è senz’altro raccomandabile una cooperazione effettiva fra questi autonomi soggetti, nell’ottica
di favorire una compliance il più possibile integrata. È peraltro sempre più avvertita la necessità di
istituzionalizzare i flussi informativi fra le due figure, in modo da rendere sistematico lo scambio di
informazioni.

- 56 -
Capitolo 6 - Reati informatici e attività di vigilanza dell’OdV
Se nei capitoli precedenti si sono affrontate le complessità del risk assessment dei reati informatici e della
conseguente costruzione di un Modello 231 quanto più possibile idoneo a prevenirne la commissione
nell’interesse e/o a vantaggio dell’ente, va in conclusione accennato al ruolo che deve essere svolto
dall’organismo di vigilanza (di seguito anche solo “Organismo” o “OdV”) nominato.
Giova ricordare infatti che uno dei requisiti per poter beneficiare della condizione esimente prevista
dall’art. 6 D.Lgs. 231/2001 è rappresentato dall’efficace attuazione del Modello e dalla nomina e
operatività di un organismo di vigilanza dotato “di autonomi poteri di iniziativa e di controllo”.
L’attività di monitoraggio dell’OdV in relazione ai reati informatici deve tuttavia tener conto delle
peculiarità dei mezzi tecnologici con cui le condotte dagli stessi criminalizzate vengono realizzate. Se
infatti, per alcune fattispecie di reato presupposto, le verifiche dell’OdV possono essere di tipo
prettamente documentale e prescindere dalla cooperazione dell’ente sottoposto a vigilanza,92 per i reati
informatici, al contrario, va sottolineata l’assoluta rilevanza della collaborazione dell’ente nelle attività
dell’Organismo attraverso:
• la predisposizione e il tempestivo invio all’OdV di flussi informativi specifici e
• l’interlocuzione con le funzioni interne preposte alla gestione dell’infrastruttura tecnologica
aziendale ovvero con consulenti/fornitori esterni.93
6.1. I flussi informativi all’OdV da parte delle funzioni aziendali preposte

L’attività di definizione o di integrazione del report dei flussi all’OdV,94 in generale, e di quelli sulla gestione
dell’infrastruttura informatica, in particolare, va senz’altro parametrata sulla scorta delle specificità della
singola organizzazione aziendale, delle fattispecie di reato-presupposto mappate e dei presidi
implementati nell’ambito del Modello ai fini della loro prevenzione.
In ragione delle specificità della singola organizzazione aziendale deve altresì essere individuata la figura
interna titolare dell’invio dei flussi in esame: per le realtà più complesse, che abbiano strutturato una
92
Si pensi, a titolo meramente esemplificativo e non esaustivo, alle analisi sulle note spese o sugli acquisti di beni e
servizi, che potrebbero richiedere la sola acquisizione del relativo campione da parte dell’OdV, il quale potrebbe
poi scegliere di interfacciarsi con la società solo a verifiche ultimate.
93
Per quelle realtà meno strutturate i cui sistemi IT siano gestiti in outsourcing.
94
I flussi informativi, lo si ricorda, sono flussi di informazione, canalizzati da opportuni processi di comunicazione
aziendale, che costituiscono una componente essenziale per consentire all’OdV di avere contezza dello stato di
applicazione del Modello 231 e, quindi, la prevenzione dei reati. L’Organismo di Vigilanza, grazie ai flussi
informativi, viene a conoscenza – ad evento ovvero con una cadenza predeterminata (es. annuale, semestrale,
trimestrale, mensile) – delle vicende che riguardano l’ente sotto profili rilevanti in termini di compliance 231.
Secondo le Linee Guida di Confindustria, essi sono uno dei pilastri su cui si fonda il sistema di gestione del rischio ai
sensi del D.Lgs. 231/2001. Si legge in tale documento che i flussi informativi “devono essere accurati, completi,
tempestivi e costanti, in modo da garantire la circolazione delle informazioni a tutti i livelli aziendali (con la
doverosa programmazione di un piano di formazione, comunicazione e informazione volto a diffondere e
consolidare la cultura della trasparenza e dell’integrità, nonché la comprensione delle fattispecie di reati tributari,
con esemplificazioni delle concrete condotte idonee a generarle)”.
- 57 -
funzione IT, si potrà logicamente attribuire tale compito al direttore di questa funzione o a un suo riporto;
per realtà meno strutturate, invece, andrà di volta in volta stabilito quale sia il soggetto responsabile di
tale adempimento.
Ciò posto, uno dei flussi che si riscontrano nella maggioranza delle realtà aziendali è rappresentato
dall’invio all’OdV di regolamenti e policy connessi alla gestione dei sistemi informativi, ogni volta che
questi documenti siano predisposti ex novo o aggiornati dall’ente.
Inoltre, alla luce della preminenza, tra i reati informatici, dell’accesso abusivo a un sistema informatico –
che, in virtù delle sue modalità di realizzazione95 può costituire un delitto preliminare alla commissione di
altri delitti informatici96 – uno dei flussi basici che risulta opportuno istituire e che regolarmente viene
richiesto dall’OdV alle Funzioni aziendali incaricate riguarda proprio i potenziali accessi abusivi. Più
specificamente, è best practice riconosciuta che l’organismo di vigilanza richieda l’invio di un report su
violazioni (anche sospette) rispetto ai regolamenti e policy in materia di uso delle risorse informatiche
aziendali da parte di dipendenti, dirigenti e componenti degli organi sociali,97 da cui si evincano accessi
(ovvero tentativi di accesso) non autorizzati ai sistemi interni o di terzi, quali P.A., fornitori, clienti, partner
commerciali.
In maniera speculare e nell’ottica dello sviluppo di un sistema di compliance integrato 231 e data
protection, potrebbe essere valutata l’implementazione di un flusso che ricomprenda anche accessi
(ovvero tentativi di accesso) non autorizzati provenienti da soggetti esterni all’ente.
L’invio di apposita comunicazione sulle violazioni del sistema informatico (proprio o di terzi) è tra i più
ricorrenti esempi di flussi informativi sull’argomento che vengono proposti nella prassi. Se ne trova
conferma anche all’esito di una rapida disamina dei report sui flussi di comunicazione all’OdV pubblicati
dalle società a partecipazione pubblica (in conformità alla normativa sugli obblighi di trasparenza) ovvero
da società private che li allegano alla Parte Generale del Modello, a sua volta resa disponibile sul sito
internet aziendale. Qui di seguito si riporta un prospetto riassuntivo:
Ente Flusso
Società pubblica operante Elenco delle principali fattispecie di violazioni, realizzate o anche solo
nel settore della tentate ovvero presunte tali, relative a:
costruzione e gestione di
• introduzione in azienda di software non legale o punibile ai
infrastrutture viarie
sensi delle legislazioni sul diritto d’autore;
• attacchi informatici o comportamenti non adeguati,
provenienti dall’esterno (Internet) o dall’interno del network
aziendale, finalizzati a inibire parzialmente o completamente il
servizio informatico ovvero finalizzati allo sfruttamento delle
risorse informatiche per il compimento di reati informatici.
Società pubblica operante • Report periodico su eventuali incidenti o eventi di security IT;
nel settore gestione dei
• comunicazione di avvenuta adozione e aggiornamento del
tributi locali
Documento Programmatico sulla Sicurezza (ex art. 19 del
Disciplinare Tecnico, Allegato B al D. Lgs. 196/2003); 98
95
Per le quali si rimanda al precedente Cap. 1.
96
Si pensi, ad esempio, all’accesso abusivo al sistema informatico di una P.A., preordinato all’alterazione o
cancellazione di dati o documenti in precedenza inviati dalla Società.
97
Come le procedure implementate nell’ambito dei sistemi di gestione della security e della sicurezza delle
informazioni (es. NIST, ISO 27001, ecc.) di cui si è trattato nel precedente Cap. 3.
98
Si ricorda che l’obbligo di predisposizione del Documento Programmatico sulla Sicurezza (c.d. “DPS”) ai sensi del
D.Lgs. 196/2003, allegato B, capo secondo art. 34, comma 1 lettera g è stato abrogato dal D.Lgs. 101/2018.
- 58 -
• attestazione dell’avvenuta adozione delle misure minime di
sicurezza di cui al D. Lgs. 196/2003;
• invio della Relazione accompagnatoria al bilancio, nella quale
si dichiara l’avvenuta predisposizione, aggiornamento e
adozione del Documento Programmatico sulla Sicurezza (ex
art. 19 del Disciplinare Tecnico, Allegato B al D. Lgs. 196/2003).
Associazione che opera • Ogni violazione del Documento Programmatico per la
nel settore turistico Sicurezza;
• ogni violazione del Regolamento Aziendale per l’utilizzo delle
postazioni di Informatica individuale;
• Eventuali incidenti di sicurezza (anche concernenti attacchi al
sistema informatico e telematico da parte di hacker esterni).
Consorzio intercomunale • Anomalie nella gestione di sistemi informatici.
che opera nel settore dei
servizi igienici ambientali
Società pubblica che si • Eventuali anomalie riscontrate nel monitoraggio dei sistemi
occupa di vendita di gas informativi da cui si possa desumere un uso improprio o
naturale, della scorretto degli strumenti informatici.
commercializzazione di
energia elettrica e dei
relativi servizi aggiuntivi
Multinazionale operante Questionario comprendente le seguenti domande per il dipartimento
nel settore Information Technologies:
dell’elettronica e
• Sono intervenute variazioni della Mappa degli Amministratori
dell’energia
di Sistema nominati in azienda?
• Sono emerse eventuali criticità sull’operato degli
Amministratori di Sistema?
• Sono intervenuti eventuali incidenti di sicurezza fisica, logica,
organizzativa e/o cali di efficienza della sicurezza del sistema
informatico IS/IT e/o che possano potenzialmente causare
accessi non autorizzati alle risorse del sistema stesso
(verificatisi in azienda e/o causati dal personale aziendale)? È
a conoscenza di eventuali criticità/contestazioni/anomalie/
procedimenti legali riguardanti l’ambito IT/IS?
• È a conoscenza di eventuali contestazioni/procedimenti nei
confronti dei fornitori di servizi informatici IT/IS?
Come emerge dalla breve comparazione sopra proposta, si riscontra un nucleo minimo di flussi sui sistemi
IT – e sulla possibile commissione di condotte che possano astrattamente integrare reati informatici – che
è comune a molte società.
Altri flussi potranno essere individuati sulla base delle prerogative del business dell’ente, nonché del
Modello 231 da questo adottato e dei presidi di controllo per la prevenzione dei reati informatici che il
Modello stesso reca.

- 59 -
In proposito, un’ulteriore tipologia di flusso spesso suggerita è costituita dall’elenco riepilogativo dei
software in uso all’interno dell’organizzazione aziendale, 99 che consente all’OdV di ottenere una
panoramica sugli applicativi in uso, sulle loro date di acquisto e di scadenza, nonché sulla loro potenziale
utilizzabilità al fine di commettere reati informatici.100
Si potrebbe, poi, valutare di implementare un’ultima tipologia di flusso informativo sui processi in esame
che, data la sua larga portata, potrebbe trovare applicazione in una vasta platea di società, a prescindere
dal settore in cui le stesse operino. Si tratta, nello specifico, del flusso relativo a eventuali momenti di
formazione del personale coinvolto nella gestione dei sistemi informativi, aventi ad oggetto i rischi legati
a tali sistemi e gli strumenti di prevenzione impiegati dalla società. Una simile informativa potrebbe essere
trasmessa a evento (al momento in cui la formazione viene erogata) ovvero nell’ambito di un più ampio
flusso periodico concernente tutte le iniziative formative promosse dalla società con riferimento alla
prevenzione dei reati in attività sensibili.101 Ciò anche in conformità alle Linee Guida di Confindustria, che
sottolineano come l’attività di formazione sul Modello vada quantomeno supervisionata dall’OdV: “È
importante che l’attività di formazione sul decreto 231 e sui contenuti dei modelli organizzativi adottati
da ciascun ente sia promossa e supervisionata dall’Organismo di Vigilanza della società, che a seconda
delle singole realtà potrà avvalersi del supporto operativo delle funzioni aziendali competenti o di
consulenti esterni.”102.
Un simile flusso potrebbe agevolare i compiti di monitoraggio dell’Organismo, che avrebbe la possibilità
di potersi interfacciare – nelle proprie verifiche – con referenti interni periodicamente formati e informati
sui sistemi IT e sugli annessi rischi.
Come si vedrà nel prosieguo, infatti, il confronto con le funzioni interne preposte ai sistemi IT è passaggio
necessario nella verifica dell’applicazione dei presidi del Modello 231 per la prevenzione dei reati
informatici.
6.2. Le verifiche dell’OdV tra individuazione delle attività sensibili e supporto

delle funzioni aziendali preposte
Tra le sfide che l’organismo di vigilanza affronta nello svolgimento delle proprie attività di monitoraggio,
occorre evidenziare quelle che discendono dall’effettuazione di verifiche su processi trasversali a più
attività, quale appunto quello di gestione dell’infrastruttura informatica interna.
In tal senso, è opportuno ricordare come il processo in esame impatti non solo in via diretta sulle attività
di gestione dei sistemi informativi e delle reti informatiche aziendali, ma anche, indirettamente, su molte
altre attività sensibili.103
Per quanto attiene alle principali attività tipiche del processo di gestione dei sistemi informativi dell’ente
– che potrebbero essere oggetto di verifica – si possono richiamare:
• creazione e gestione delle utenze e profili autorizzativi;
• gestione degli accessi a cartelle di rete;
• gestione delle password e dei sistemi di accesso/autenticazione;
99
Che potrebbe essere trasmesso con cadenza periodica.
100
Oltre che consentire all’OdV l’acquisizione di informazioni utili anche al fine di monitorare le attività sensibili al
rischio di commissione dei Delitti in materia di violazione del diritto d’autore ex art. 25-novies, D.Lgs. n. 231/2001,
introdotti dalla L. n. 99/2009, quali, ad esempio, quelli di cui agli artt. 171 e 171-bis L. n. 633/1941.
101
Es. formazione su salute e sicurezza sui luoghi di lavoro, sui rapporti con la Pubblica Amministrazione, ecc..
102
Cfr. Linee Guida di Confindustria del 25 giugno 2021.
103
Si rinvia, sul punto, al Cap. 3.
- 60 -
• attività di back-up e di disaster recovery;
• controlli di cybersecurity.
Già dall’analisi di tale perimetro (minimo) di verifica, si evince chiaramente quanto possa risultare
articolato e complesso un controllo sul medesimo da parte di un organismo che, sebbene spesso costituito
in forma collegiale, potrebbe non annoverare al proprio interno uno o più componenti muniti di expertise
specifica in materia IT.
Alla luce della complessità dell’esecuzione di tali controlli, è dunque opportuno che l’OdV sia coadiuvato
dalle funzioni aziendali coinvolte nelle verifiche sulle attività sensibili e/o nella gestione dell’infrastruttura
informatica. Ci si riferisce, più in dettaglio, alla funzione Internal Audit e alla funzione IT/ICT (ovvero, nel
caso in cui tale funzione non sia presente, all’eventuale outsourcer incaricato).
Per quel che concerne in primo luogo i rapporti con l’Internal Auditor, va osservato come i compiti
dell’OdV sono spesso paralleli a quelli di tale funzione: è prassi diffusa, nella pianificazione delle attività
di monitoraggio dell’Internal Auditor, includere i processi e le attività a rischio monitorate dall’OdV,
nell’ottica di un generale e necessario coordinamento tra le due figure di controllo. E proprio la gestione
dell’infrastruttura informatica interna potrebbe essere un processo incluso nel piano delle verifiche
dell’Internal Auditor. L’OdV potrebbe dunque partecipare a tale monitoraggio, ovvero prendere atto degli
esiti del medesimo e approfondire soltanto gli eventuali aspetti di interesse.
A riguardo, va ricordato che l’attività di verifica sui sistemi IT da parte dell’Internal Auditor è sancita
espressamente, perlomeno per le società quotate, dal Codice di Autodisciplina emanato dal Comitato di
Corporate Governance nelle Società Quotate di Borsa Italiana: “Il responsabile della funzione di internal
audit: “[…] e) verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi inclusi i sistemi di
rilevazione contabile”.104
Per le società che abbiano istituito una funzione Internal Audit, pertanto, l’OdV potrà beneficiare di
quest’ultima, il cui intervento andrà certamente ampliato dalla verifica della mera “affidabilità dei sistemi
informativi” all’applicazione dei presidi di controllo individuati dal Modello 231 per prevenire delitti
informatici.
Con riferimento, invece, a enti privi di tale figura di controllo, interlocutore privilegiato dell’organismo di
vigilanza potrebbe essere il responsabile dei sistemi informativi (o un suo riporto).
Infine, l’OdV potrà relazionarsi con eventuali fornitori/consulenti esterni cui la società abbia affidato in
outsourcing la gestione dei sistemi.
Dal necessario “dialogo” tra l’OdV e il referente interno (ovvero tra l’OdV e l’outsourcer) si dovrà partire
per poter:
• comprendere i meccanismi di funzionamento dei sistemi informativi interni;
• pianificare le verifiche e delineare l’ordine di priorità delle stesse, anche alla luce della “storia”
delle criticità già evidenziate in occasione di precedenti verifiche;
• eseguire le verifiche sui sistemi;

• analizzare le risultanze delle predette verifiche e definire le possibili raccomandazioni e gli
opportuni interventi di follow-up.
In ultimo, si ritiene utile ricordare come la vigilanza dell’OdV sui presidi di controllo diretti a prevenire la
commissione dei reati di cui all’art. 24-bis del Decreto potrebbe comunque realizzarsi anche attraverso la
nomina di consulenti ad hoc, specializzati nelle investigazioni informatiche e nell’analisi forense
informatica.
104
Nell’ultima versione in vigore a partire dal il 31 gennaio 2020, consultabile sul sito
https://www.borsaitaliana.it/comitato-corporate-governance/codice/2020.pdf.
- 61 -
È best practice nota, infatti, l’attribuzione all’OdV di adeguate risorse finanziarie, di cui lo stesso può
disporre per ogni esigenza connessa al corretto svolgimento delle proprie attività.105 Ebbene, proprio le
verifiche sulla gestione dei sistemi IT potrebbero essere un’occasione privilegiata per l’impiego di tali
risorse, potendo il ricorso a professionisti esterni contribuire a garantire l’efficienza e la terzietà dei
controlli dell’OdV, soprattutto in un ambito così fortemente tecnico.
105
Le Linee Guida di Confindustria valorizzano l’attribuzione delle risorse finanziarie all’OdV alla luce del requisito
di autonomia che l’organismo deve possedere: “Inoltre, la giurisprudenza ha affiancato al requisito dell’autonomia
quello dell’indipendenza (cfr. G.i.p. Tribunale Milano, ordinanza 20 settembre 2004). Il primo requisito, infatti,
sarebbe svuotato di significato se i membri dell’Organismo di Vigilanza risultassero condizionati a livello economico
e personale o versassero in situazioni di conflitto di interesse, anche potenziale. Tali requisiti sembrano assicurati
riconoscendo all’Organismo in esame una posizione autonoma e imparziale, prevedendo il “riporto” al massimo
vertice operativo aziendale, vale a dire al Consiglio di Amministrazione, nonché la dotazione di un budget annuale a
supporto delle attività di verifica tecniche necessarie per lo svolgimento dei compiti ad esso affidati dal legislatore”.
- 62 -

4500-t7i-10-DDA - La Prevenzione Dei Reati Informatici - 13 06 2023

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

4500-t7i-10-DDA - La Prevenzione Dei Reati Informatici - 13 06 2023

Caricato da

Copyright:

Formati disponibili

GIUGNO 2023

La prevenzione dei reati

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

Capitolo 1 - Introduzione normativa sulla criminalità informatica............................................................ 7

1.1. I reati informatici nell’elaborazione giurisprudenziale ................................................................ 11

1.4. La confisca ...................................................................................................................................... 21

Capitolo 3 - Reati informatici e costruzione del Modello ......................................................................... 33

3.1. La mappatura preliminare dei rischi-reato ................................................................................... 34

3.2. Il Risk Assessment di dettaglio sui rischi-reato ex D.Lgs. 231/2001 ............................................ 37

3.3. Processi c.d. rilevanti (in quanto esposti al rischio-reato) ........................................................... 39

3.4. Definizione dei presidi di controllo ............................................................................................... 41

3.5. Best practice di riferimento ........................................................................................................... 45

4.1. Premessa ........................................................................................................................................ 46

4.2. Cambiamenti nel panorama delle minacce cyber ........................................................................ 47

4.3. Breve tassonomia delle minacce cyber ......................................................................................... 47

4.6. Conclusioni ..................................................................................................................................... 50

Capitolo 5 - Reati informatici e adozione di misure di sicurezza in ottica privacy .................................. 51

5.2. Illeciti penali privacy e reati informatici ....................................................................................... 52

5.3. Modello organizzativo privacy per la prevenzione dei rischi ....................................................... 53

5.4. Data breach policy ......................................................................................................................... 53

5.5. DPO a confronto con l’OdV 231 .................................................................................................... 54

Capitolo 6 - Reati informatici e attività di vigilanza dell’OdV .................................................................. 57

6.1. I flussi informativi all’OdV da parte delle funzioni aziendali preposte........................................ 57

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

495-bis c.p. Falsa dichiarazione o attestazione al certificatore di firma elettronica

615-ter c.p. Accesso abusivo a un sistema informatico o telematico

615-quater c.p. Detenzione, diffusione e installazione abusiva di apparecchiature, codici e

615-quinquies c.p. Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi

617-quinquies c.p. Detenzione, diffusione e installazione abusiva di apparecchiature e di altri

635-bis c.p. Danneggiamento di informazioni, dati e programmi informatici

635-ter c.p. Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo

635-quater c.p. Danneggiamento di sistemi informatici o telematici

640-ter c.p. Frode informatica

616 c.p. Violazione, sottrazione e soppressione di corrispondenza (con equiparazione,

1.1. I reati informatici nell’elaborazione giurisprudenziale

Della falsità in atti

Delitti contro la inviolabilità del domicilio

Delitti contro il patrimonio mediante violenza alle cose o alle persone

Delitti contro il patrimonio mediante frode

Delitti contro la inviolabilità del domicilio

Delitti contro la inviolabilità dei segreti

Delitti contro il patrimonio mediante violenza alle cose o alle persone

Delitti contro il patrimonio mediante frode

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

I Reati informatici nel D.Lgs. 231/2001

(Ar t . 6 1 5 - t e r c.p.) D AN N EGGI AM EN T O D I I N FO R M AZ I O N I , D AT I E

(Ar t . 6 1 5 - quinquie s c.p.) D AN N EGGI AM EN T O D I SI ST EM I I N FO R M AT I CI O

V I O LAZ I O N E D ELLE N O R M E I N M AT ER I A D I P ER I M ET R O DI (Ar t . 6 3 5 - quinquie s c.p.)

3.1. La mappatura preliminare dei rischi-reato

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

Falsità in documento informatico

Accesso abusivo ad un sistema

Frode informatica del

3.2. Il Risk Assessment di dettaglio sui rischi-reato ex D.Lgs. 231/2001

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano

© Tutti i diritti riservati - AODV231 - via della Posta, 7 – 20123 Milano