ANDIG

Il rischio di responsabilità amministrativa derivante da reato degli enti dovuto ad uso improprio dello smart working

Scritto da Erika De Luca

Tra gli strumenti dei quali durante i mesi di lockdown si è fatto largo uso e che hanno permesso all’immobilità del momento di non essere totale si aggiudica la prima posizione lo smart working. Oltre agli innumerevoli vantaggi, sono presto emersi anche i rischi ICT nati dal proliferare dell’uso improprio di questa modalità di lavoro, rischi che possono provenire da attacchi nati all’esterno rispetto alla compagine aziendale, sia in seno ad essa. Infatti, il ricorso massivo all’uso del lavoro a distanza potrebbe facilitare la commissione dei reati-presupposto relativamente alla violazione del diritto di autore e ai reati informatici (rispettivamente art. 25-novies e art. 24-bis del D.Lgs. 231/2001), con conseguente responsabilità amministrativa dipendente da reato dell’ente. Fondamentale si rivela il ruolo dell’Organismo di Vigilanza, vista l’importanza dell’adozione di un Modello di organizzazione, gestione e controllo idoneo ed adeguato alla prevenzione di questo tipo di reati.

Lo smart working tra vantaggi e problematiche

Nato per “favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato[1], lo smart working ha recentemente rappresentato la soluzione – temporanea – di alcune aziende alla paralisi del proprio processo produttivo, vista l’impossibilità per i dipendenti di presentarsi in sede durante l’orario di lavoro.

Tuttavia, senza un’adeguata esperienza di cybersecurity che veicoli il suo utilizzo, da valido strumento di promozione della business continuity, lo smart working rischia di diventare fonte di nuove e gravi problematiche.

I temi di criticità legati all’emergenza COVID-19, infatti, non riguardano soltanto rischi diretti, quali la salute e la sicurezza nei luoghi di lavoro, ma anche rischi indiretti, come il potenziale aumento delle occasioni di commissione di reati informatici.

Alla volontà delle imprese di evitare danni causati da un’eventuale compromissione delle reti aziendali con conseguente perdita di dati (data breach), si aggiunge quella di non incorrere in responsabilità amministrativa dipendente da reato, ex art.24-bis del D.Lgs. 231/2001[2]. L’esigenza diventa quella di riadattare l’organizzazione interna delle imprese al mutato contesto storico, con evidente necessità di lavorare su nuovi strumenti di tutela della privacy aziendale e su un corretto e lecito utilizzo dei supporti informatici, intervenendo sul Modello di organizzazione, gestione e controllo (c.d. MOG) adottato e sulla sua corrispondenza ai protocolli emanati.

I reati-presupposto e il Modello di organizzazione, gestione e controllo

Le pratiche di ingegneria sociale tramite le quali viene realizzato il maggior numero di attacchi informatici alle aziende – che sia con l’invio di e-mail di phishing o attraverso tecniche di intrusione pura – e l’aumento della superficie di attacco causato dalla recente proliferazione di device e di piattaforme di condivisione online rappresentano per le aziende un vecchio, ma rinforzato nemico da debellare.

Come evidenziato dal Rapporto CLUSIT del 2020 – quindi riferito al 2019, periodo precedente all’emergenza COVID-19 – attacchi di phishing e di social engineering erano già in continuo aumento rispetto agli anni precedenti (+81,9%), rappresentando una delle maggiori minacce per i sistemi aziendali [3]. Il recente incremento esponenziale dell’utilizzo di piattaforme di videoconferenza e, in generale, della pratica conosciuta come “Bring your own device” (BYOD), cioè la possibilità di utilizzare i propri dispositivi elettronici per svolgere il lavoro da remoto, hanno spianato la strada a gravi e frequenti problemi di data breach, complici, spesso, l’assenza di software antivirus installati sul dispositivo e il mancato utilizzo di una VPN (Virtual Private Network).[4]

 Ma a necessitare di un’adeguata difesa non è soltanto il perimetro aziendale, poiché gli attacchi non arrivano in modo esclusivo dall’esterno. Lo spopolamento dello smart working ha messo a dura prova l’idoneità dei Modelli organizzativi 231 a prevenire anche la commissione di reati informatici perpetrati dall’interno, da parte di soggetti in posizione apicale o di dipendenti dell’ente, nell’interesse e a vantaggio di quest’ultimo, quindi non solo per effetto di un’iniziativa privata, ma nell’ambito di una vera e propria politica aziendale.[5]

Uno dei rischi più concreti è rappresentato dal fatto che, per favorire l’immediatezza del lavoro a distanza, vengano installati software contraffatti sui dispositivi aziendali, realizzando così la fattispecie del reato di utilizzo illecito di software tutelati dal diritto di autore ex art. 25-novies del D.Lgs. 231/2001, dove il risparmio di tempo si connette, ovviamente, al risparmio di costi, dato il mancato acquisto della licenza d’uso. Pur non essendo questo un reato informatico in senso stretto, è da riconoscerne il valore strumentale che agevola e velocizza la possibilità di lavorare in smart working.

Parlando, poi, in modo specifico dei reati informatici, l’art.7 della L.n. 48/2008 ha introdotto l’art.24-bis nel D.Lgs. 231/2001, facendo sì che venissero aggiunti al novero dei c.d. reati-presupposto anche i delitti informatici e il trattamento illecito di dati.

I reati in questione possono essere divisi in tre macro aree[6]

  • reati che puniscono il danneggiamento di hardware, di software e di dati (artt. 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies);
  • reati che puniscono la detenzione e la diffusione di software in grado di facilitare la commissione dei reati precedentemente menzionati (artt. 615-quater e 615-quinquies);
  • reati che puniscono la violazione dell’integrità dei documenti informatici e della loro gestione attraverso la falsificazione della firma digitale (artt. 491-bis e 640-quinquies).

Sebbene sia richiesto il dolo come elemento soggettivo dei reati-presupposto informatici, l’interesse dell’ente, con conseguente responsabilità, potrebbe, anche in questo caso, sostanziarsi nel “risparmio di spesa in ordine alla predisposizione di sistemi di sicurezza informatica di minor efficacia che si dimostrino insufficienti o addirittura inesistenti, stante il considerevole impegno in termini di costi che comporta l’alta tecnologia” [7] 

Per far fronte ad entrambe le macro-categorie appena nominate (art. 25-novies e art. 24-bis), è opportuno stanziare presidi di controllo specifici e, se già adottati, rinforzarli, così come richiesto dal momento storico. Il monitoraggio degli strumenti informatici dei lavoratori chiamati a operare da remoto ed il perfezionamento delle policy aziendali in materia rappresentano validi strumenti per arginare il rischio per le imprese di risultare responsabili. La scelta dell’utilizzo di un MOG, pur essendo facoltativa, è raccomandata, in quanto un Modello idoneo a garantire la prevenzione dei reati-presupposto funge da criterio di esclusione della punibilità dell’ente o di attenuazione delle eventuali conseguenze sanzionatorie.

Il rinnovato e fondamentale ruolo dell’Organismo di Vigilanza

Ma chi è che vigila sull’idoneità e sull’adeguatezza del Modello organizzativo aziendale? Ai fini della valutazione di un sistema compliance 231, ruolo fondamentale è quello dell’Organismo di Vigilanza, figura prevista dal D.Lgs. 231/2001 all’art.6 co.1, lett b), dotato di autonomi poteri di iniziativa e di controllo e deputato all’aggiornamento e al monitoraggio continuo dell’adeguatezza del Modello organizzativo circa la prevenzione dei reati-presupposto.

Laddove il Modello adottato non sia in linea con le novità della situazione emergenziale, l’Organismo di Vigilanza sollecita l’organo amministrativo a provvedere all’adozione di misure adatte al contenimento del rischio, non essendo provvisto di poteri gestori e organizzativi tali da permettergli di intervenire in prima persona.Gli ultimi eventi hanno puntato i riflettori sull’importanza di questa figura e della sua attività di controllo sul MOG all’interno delle società e ad averlo recentemente ribadito è stato il Documento del Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC), intitolato “Vigilanza e modello di organizzazione, gestione e controllo ex. D.Lgs. 231/2001 nell’emergenza sanitaria”, che ricorda come l’Organismo di Vigilanza sia “chiamato a sorvegliare costantemente l’osservanza dei protocolli preventivi da parte delle imprese e a comunicare agli amministratori le eventuali criticità riscontrate, sollecitandone il tempestivo intervento[8] ricorrendo ad attività di monitoraggio e controllo nei confronti dello smart working. Da questo punto di vista, può rivelarsi utile programmare audit interni da ripetere in modo sistematico, secondo le indicazioni riportate nella ISO/IEC 27001:2017[9], così da monitorare costantemente l’idoneità delle misure predisposte, magari ricorrendo ad attività di ingegneria sociale e di penetration test.

Conclusioni

La necessità di garantire la continuità operativa aziendale non può andare a scapito della sicurezza ICT, sia per arginare il rischio di un’eventuale grave perdita di informazioni e dati personali, sia per evitare che l’ente si trovi a dover rispondere a livello amministrativo della commissione di uno dei reati-presupposto.

Gli esempi sopra riportati sono solo alcune delle possibili soluzioni affinché, senza rinunciare alla continua erogazione di prodotti o servizi, le imprese possano usufruire in modo sicuro dello smart working.

Pertanto, per evitare che un uso improprio di questo strumento sfoci in un’attribuzione di responsabilità amministrativa in capo all’ente è necessario che il Modello organizzativo aziendale preveda efficaci strategie di mitigazione dei rischi, quali l’utilizzo controllato di strumenti informatici ed un’adeguata formazione del personale circa i cybercrimes, le misure di cybersecurity da rispettare ed una vera e propria policy per un uso consapevole del lavoro da casa.[10]

 

[1] LEGGE 22 maggio 2017, n. 81 “Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato”.

[2] Decreto legislativo 8 giugno 2001, n. 231 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300”.

[3] Rapporto CLUSIT 2020 sulla sicurezza ICT in Italia, pag. 23.

[4] https://it.wikipedia.org/wiki/Rete_virtuale_privata">https://it.wikipedia.org/wiki/Rete_virtuale_privata 

[5] N. Mazzacuva – E. Amati, Diritto Penale dell’economia. Problemi e casi, CEDAM 2016.

[6] https://www.ictsecuritymagazine.com/articoli/digital-crimes-e-modello-231-gestione-dei-rischi-information-security-policy-presidi-di-controllo-e-formazione-interna/">https://www.ictsecuritymagazine.com/articoli/digital-crimes-e-modello-231-gestione-dei-rischi-information-security-policy-presidi-di-controllo-e-formazione-interna/

[7] A. Cadoppi – S. Canestrari – A. Manna – M. Papa, Trattati giuridici. Cybercrime, UTET Giuridica, pag. 205.

[8] CNDCEC, “Vigilanza e modello di organizzazione, gestione e controllo ex. D.lgs. 231/2001 nell’emergenza sanitaria”, pag. 8.

[9] UNI CEI EN ISO/IEC 27001:2017 “Tecnologie informatiche – Tecniche di sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti”.

[10] Deloitte Legal – Coronavirus legal tips, 24 Aprile 2020, pag. 3.