Gruppo di lavoro
Il modello di organizzazione, gestione e
controllo ex D.Lgs. 231/2001
Torino, 24 maggio 2010
Modello di organizzazione, gestione
e controllo ex D.Lgs. 231/2001
Reati informatici
(art. 24-bis)
Dott. Carlo Salomone
REATI INFORMATICI E D.LGS 231/2001
La legge 18/03/2008 n. 48
“Ratifica ed esecuzione della Convenzione del
Consiglio d'Europa sulla criminalità informatica, fatta a
Budapest il 23 novembre 2001, e norme di
adeguamento dell'ordinamento interno”
ha introdotto nel D.Lgs. 8/06/2001 n 231 il nuovo
art. 24-bis
(Delitti informatici e trattamento illecito di dati quali
reati presupposto)
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
2
ART. 24-BIS. c.1 - ESTRATTO DELLA NORMA
(reati presupposto e sanzioni)
accesso abusivo a sistema informatico o telematico,
intercettazione , impedimento, interruzione illecita di
comunicazioni informatiche o telematiche
installazione di apparecchiature atte a intercettare
comunicazioni informatiche o telematiche
danneggiamento di informazioni dati programmi sistemi
informatici o telematici,
sanzione pecuniaria da cento a cinquecento quote
interdittive: di esercizio attività,
sospensione/revoca licenze, ecc. funzionali illecito,
divieto pubblicizzare beni e servizi
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
3
ART. 24-BIS. c.2 - ESTRATTO DELLA NORMA
(reati presupposto e sanzioni)
detenzione abusiva di codici di accesso
installazione di apparecchiature (…) atte a interrompere
e danneggiare – sistemi informatici e telematici
sanzione pecuniaria sino a trecento quote
interdittive: sospensione/revoca licenze, ecc. funzionali illecito,
divieto pubblicizzare beni e servizi
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
4
ART. 24-BIS. c.3 - ESTRATTO DELLA NORMA
(reati presupposto e sanzioni)
falsità relative a documento informatico
frode del certificatore
sanzione pecuniaria sino a quattrocento quote.
interdittive: divieto contrattare con PA, eccetto per
ottenimento pubblico servizio
esclusione agevolazioni, finanziamenti, ecc.
eventuale revoca dei concessi
divieto pubblicizzare beni e servizi
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
5
REATI INFORMATICI E D.LGS 231/2001
Altri reati informatici (non inseriti nell’art. 24 bis)
- Frode informatica (art. 640-ter c.p.) ai danni di Stato o ente pubblico
(in art. 24 D.Lgs 231/2001)
- Violazione diritto d’autore (artt. 171 …, -bis, -ter, -septies, -octies
(Legge 22/04/1941) (in art. 25-novies D.Lgs 231/2001, introdotto
dalla legge 23 luglio 2009 n. 99)
Reati informatici non inclusi nel D.LGS 231/2001
- Frode informatica non ai danni di Stato o ente pubblico (art. 640-ter c.p.)
- Falsificazione, alterazione o soppressione del contenuto di
comunicazioni informatiche o telematiche (Art. 617-sexies c.p).
- Falsa dichiarazione o attestazione al certificatore di firma elettronica
sull’identità o su qualità personali proprie o di altri (Art. 495-bis)
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
6
REATI INFORMATICI E D.LGS 231/2001
ALCUNE DEFINIZIONI
REATO INFORMATICO
Reato commesso per mezzo di sistemi informatici e/o telematici
e/o per cui vi siano prove in formato elettronico (“Convenzione di
Budapest”)
SISTEMA INFORMATICO
Qualsiasi apparato in grado di svolgere funzioni autonome di
elaborazione, anche se minime
SISTEMA TELEMATICO
Gruppo di apparecchiature interconnesse, una o più delle quali,
per mezzo di un programma, compiono l’elaborazione
automatica di dati (“Convenzione di Budapest”)
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
7
REATI INFORMATICI E D.LGS 231/2001
COLLOCAZIONE
- falsità: riferita ai documenti informatici
- violazione di domicilio: accesso abusivo, detenzione/diffusione
di codici di accesso, diffusione di hardware/software atti a
danneggiare/interrompere sistemi informatici/telematici
- inviolabilità dei segreti: intercettazione, interruzione,
impedimento di comunicazioni informatiche/telematiche,
installazione di apparecchiature di intercettazione
- danneggiamento: di informazioni, dati, sistemi informatici e
telematici, “semplici” e di “pubblica utilità”
- truffa: frode informatica, effettuata alterando/operando su
informazioni, dati sistemi informatici/telematici
frode informatica del certificatore di firma elettronica
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
8
REATI PRESUPPOSTO
Falsità in documenti informatici
(art. 491-bis c.p.)
E’ il delitto di commissione di falsità, secondo i seguenti articoli del c. p.
476-481 Falsità materiale, ideologica commessa da pubblico ufficiale
482-483 Falsità materiale, o ideologica in atto pubblico, di privato
484-488 Falsità in registri, scritture private, fogli firmati in bianco
489
Uso di atto falso
490
Soppressione di atto vero
su un documento informatico, definito dal D.Lgs 7/03/2005 n. 82 Art. 1 P
(Codice Amministrazione Digitale) e successive integrazioni,
“... la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”
Punti rilevanti del nuovo art. 491-bis (da Legge 18/03/2008 n. 48)
• non più legame al supporto fisico
• efficacia probatoria: allineamento al C.A.D.: “firma elettronica qualificata”
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
9
REATI PRESUPPOSTO
Accesso abusivo ad un sistema informatico o
telematico
(art. 615-ter c.p.)
Chiunque abusivamente si introduce in un sistema informatico o
telematico protetto da misure di sicurezza ovvero vi si mantiene
contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è
punito con la reclusione fino a tre anni.
Aumenti di pena (da uno da uno a cinque anni) se reo
1) è pubblico ufficiale (…), abusa dei poteri / viola doveri di funzione o
servizio, è investigatore privato (anche abusivo), operatore del sistema;
2) usa violenza sulle cose o alle persone, è palesemente armato;
3) distrugge o danneggia il sistema, ne interrompe il funzionamento,
distrugge o danneggia dati, informazioni programmi in esso contenuti.
Se si tratta di sistemi informatici o telematici di interesse militare o
pubblico pena rispettivamente da uno a cinque anni e da tre a otto anni.
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
10
REATI PRESUPPOSTO
Accesso abusivo ad un sistema informatico o
telematico
(art. 615-ter c.p.)
Figure che accedono abusivamente a rete informatica:
• hacker: accede al sistema solo per dimostrarne la violabilità
• cracker: vi accede per danneggiarlo o utilizzarlo indebitamente
Tipologie di accesso abusivo:
a) Accesso a sistema interconnesso a rete (Lan, WAN, Internet) cui NON si è
autorizzati
- caso hacker:
“traccia imbarazzante” per IT, che ripristina / tende a nascondere il fatto
- caso cracker: come hacker, ed inoltre
presenza di danno, talvolta di difficile valutazione, meno nascondibile
In ogni caso esiste un’insufficiente protezione all’accesso (tecnica o pratica)
oppure dolo dall’“interno”, che ha rivelato/facilitato le modalità di accesso
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
11
REATI PRESUPPOSTO
Accesso abusivo ad un sistema informatico o
telematico
(art. 615-ter c.p.)
Tipologie di accesso abusivo (segue):
b) Accesso a sistema di cui si dispone validamente delle credenziali, ma per
funzioni diverse dall’accesso effettuato
- normalmente può essere un dipendente o collaboratore infedele
- frequentemente: è “impersonamento” di collega autorizzato, conoscendone
illecitamente le credenziali
- è restare all’interno di un sistema contro la volontà (“policy”) del
responsabile (amministratore IT)
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
12
REATI PRESUPPOSTO
Detenzione e diffusione abusiva di codici di
accesso a sistemi informatici o telematici
(art. 615-quater c.p.)
ottenere illecitamente, riprodurre, diffondere codici, parole chiave, ecc. per
oppure
fornire indicazioni idonee a
accedere a un sistema informatico o telematico, protetto da misure di
sicurezza
per ottenere profitto o arrecare danno
Sanzioni:
reclusione sino ad un anno e multa sino a euro 5.164
aggravanti (pubblico ufficiale, operatore di sistema, sistemi di “pubblica utilità”)
reclusione da uno a due anni e multa da euro 5.164 a euro 10.329
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
13
REATI PRESUPPOSTO
Diffusione di apparecchiature, dispositivi o
programmi informatici diretti a danneggiare o
interrompere un sistema informatico o
telematico
(art. 615-quinquies)
procurare produrre riprodurre diffondere apparecchiature, dispositivi,
programmi informatici (“virus” e “malware” in generale)
con lo scopo di
- danneggiare sistema informatico o telematico, informazioni,
dati programmi
- interromperne/alterarne il funzionamento
Sanzioni:
reclusione fino a due anni, multa sino a euro 10.329.
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
14
REATI PRESUPPOSTO
Art. 615-quater (Detenzione e diffusione abusiva di codici di accesso a
sistemi informatici o telematici )
Art. 615-quinquies (Diffusione di apparecchiature, dispositivi o
programmi informatici diretti a danneggiare o interrompere un
sistema informatico o telematico )
- permettono l’accesso abusivo (615-ter)
- cui può seguire danneggiamento (artt. 635-bis, ter, quater, quinquies), o
intercettazione di comunicazioni (617-quater) , o installazione di
apparecchiature di intercettazione di comunicazioni (617-quinquies)
- in particolare il 617-quinquies, in quanto si installino dispositivi, può indicare
una insufficiente protezione fisica di sistema e rete.
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
15
REATI PRESUPPOSTO
Intercettazione, impedimento, interruzione
illecita di comunicazioni
informatiche/telematiche (art. 617-quater c.p.)
intercettare, impedire, interrompere comunicazioni da/tra sistema/i
informatici o telematici
rivelare al pubblico il contenuto parziale/totale delle comunicazioni
NB
- comunicazioni: trasmissioni di dati suoni immagini programmi via
sistemi ICT
- requisiti: fraudolenza; rivelazione “al pubblico”
Sanzioni: (querela) reclusione da sei mesi a quattro anni.
ma procedimento d’ufficio se pubblico ufficiale, operatore di sistema,
sistemi di “pubblica utilità”, investigatore privato (anche abusivo)
reclusione da uno a cinque anni
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
16
REATI PRESUPPOSTO
Installazione di
apparecchiature atte ad intercettare, impedire
o interrompere comunicazioni informatiche o
telematiche (art. 617-quinquies c.p.)
illegalmente installare apparecchiature atte ad intercettare, impedire
o interrompere comunicazioni di sistema informatico o telematico o di
più sistemi
NB
- comunicazioni: trasmissioni di dati suoni immagini programmi via
sistemi ICT
- installazione: è sufficiente la funzionalità dell’apparato, anche se non
attivo o utilizzato
Sanzione: reclusione da uno a quattro anni
Aggravanti: pubblico ufficiale, operatore di sistema, sistemi di
“pubblica utilità”, investigatore privato (anche abusivo):
reclusione da uno a cinque anni
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
17
REATI PRESUPPOSTO
Danneggiamento
di dati e sistemi informatici e telematici
Danneggiamento di informazioni, dati e programmi
informatici
(art. 635-bis c.p.)
distruggere, deteriorare, cancellare, alterare o sopprimere informazioni,
dati o programmi informatici altrui
Sanzione (querela) reclusione da 6 mesi a tre anni
Aggravanti (d’ufficio) violenza, oper sistema, reclusione da uno a quattro anni
Danneggiamento di sistemi informatici o telematici
(art. 635-quater c.p.)
tramite condotte di cui all’art. 635-bis, o con introduzione/trasmissione di dati,
informazioni o programmi, distruggere, danneggiare, rendere inservibili
sistemi informatici o telematici altrui, ostacolarne il funzionamento
Sanzione reclusione da uno a cinque; aumento per aggravante
Nb: sono reati di evento (è necessario il verificarsi del danno)
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
18
REATI PRESUPPOSTO Danneggiamento dati o
sistemi informatici/telematici di pubblica utilità
Danneggiamento di informazioni, dati e programmi
informatici di pubblica utilità
(art. 635-ter c.p.)
commettere fatto diretto a distruggere, deteriorare, cancellare, alterare o
sopprimere informazioni, dati o programmi informatici usati da / pertinenti a
Stato, ente pubblico o di pubblica utilità
Danneggiamento di sistemi informatici o telematici di
pubblica utilità
(art. 635-quinquies c.p.)
commettere azioni di cui art. 635-quater dirette a distruggere, danneggiare,
rendere inservibili sistemi informatici o telematici di pubblica utilità
Nb
- delitto di attentato (non necessario il verificarsi dell’evento dannoso)
- delitto aggravato se l’evento si verifica;
aggravanti: violenza / operatore di sistema
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
19
REATI PRESUPPOSTO
Art. 617-quater (Intercettazione, impedimento o interruzione illecita di
comunicazioni informatiche o telematiche)
Art. 617-quinquies (Installazione di apparecchiature atte ad intercettare,
impedire o interrompere comunicazioni informatiche o telematiche)
Art. 635-bis (Danneggiamento di informazioni, dati e programmi
informatici)
Art. 635-ter (Danneggiamento di informazioni, dati e programmi
informatici utilizzati dallo Stato o da altro ente pubblico o comunque di
pubblica utilità)
Art. 635-quater (Danneggiamento di sistemi informatici o telematici
Art. 635-quinquies (Danneggiamento di sistemi informatici o telematici di
pubblica utilità)
- Presuppongono l’accesso abusivo (615-ter)
- In sintesi si prevengono se la protezione del sistema ne regola l’ingresso e
l’uscita
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
20
REATI PRESUPPOSTO
Frode informatica del soggetto che presta
servizi di certificazione di firma elettronica
(art. 640-quinquies c.p.)
Il soggetto che presta servizi di certificazione di firma elettronica,
il quale, al fine di procurare a sé o ad altri un ingiusto profitto
ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla
legge per il rilascio di un certificato qualificato, è punito con la
reclusione fino a tre anni e con la multa da 51 a 1.032 euro
ELEMENTI CARATTERIZZANTI:
- reato proprio (possibilità di concorso), dolo specifico
- si riferisce ad ente che rilasci certificati digitali qualificati ai sensi del
D.Lgs 7/03/2005 n. 82 (Codice Amministrazione Digitale)
- norme rilascio certificato: (…) identificazione soggetto, pubblicazione,
CRL, non essere depositario dati per creazione firma digitale titolare
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
21
CORRELAZIONE E CONCORSO TRA I REATI
detenzione
codici
615-quater
accesso
abusivo
615-ter
diffusione
hw/sw dannosi
615-quinquies
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
22
CORRELAZIONE E CONCORSO TRA I REATI
danneggiamento
dati/programmi
635 bis ter
intercettazione
interr comunic
617 quater
accesso
abusivo
615 ter
danneggiamento
sistemi info/tele
installazione
appar intercett
617 quinquies
635 quater quinquies
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
23
CORRELAZIONE E CONCORSO TRA I REATI
accesso
abusivo
615-ter
Falsità
Documento
informatico
491-bis
detenzione
codici
615-quater
frode
informatica
640-ter
Reati compiuti attraverso l’uso di sistema informatico
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
24
CORRELAZIONE E CONCORSO TRA I REATI
Alcune Sentenze Cassazione 1993-2009 su reati informatici
41
viste, di cui
18
7
con attribuzione responsabilità penale per un solo reato informatico
con attribuzione responsabilità penale per due reati informatici, tutte con 615-ter
Frequenza
5
11
5
0
4
1
articolo
491-bis
615-ter
615-quater
615-quinquies
617-quater
617-quinquies,
Frequenza
1
0
0
0
5
0
articolo
635-bis
635-ter
635-quater
635-quinquies
640-ter
640-quinquies
Fonte: interrogazione non esaustiva di banche dati giurisprudenza
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
25
Correlazione e concorso tra i reati
NOTA
Elementi rilevanti per la prevenzione dei reati:
• controllo degli accessi dall’esterno al sistema
• controllo del corretto uso del sistema all’interno
• controllo della corretta attività verso sistemi esterni
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
26
Responsabilità ex Dlgs 231/2001
e reati informatici
Art. 5. Responsabilità dell'ente
1. L'ente e' responsabile per i reati commessi nel suo interesse o
a suo vantaggio:
a) da persone che rivestono funzioni di rappresentanza,
di amministrazione o di direzione dell'ente o di una
sua unità organizzativa dotata di autonomia
finanziaria e funzionale nonché da persone che
esercitano, anche di fatto, la gestione e il controllo
dello stesso;
b) da persone sottoposte alla direzione o alla vigilanza di
uno dei soggetti di cui alla lettera a).
2. L'ente non risponde se le persone indicate nel comma 1 hanno
agito nell'interesse esclusivo proprio o di terzi
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
27
AREE A RISCHIO – ASPETTI GENERALI
LA POSSIBILITA’ DI COMMETTERE REATI INFORMATICI
E’ CONNESSA ALL’USO DEI SISTEMI INFORMATICI E
TELEMATICI,
DIFFUSI IN OGNI AMBITO AZIENDALE E
ORGANIZZATIVO.
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
28
AREE A RISCHIO – PRESUPPOSTI
falsità di documenti informatici (art. 491-bis)
Presenza di documenti informatici nei processi
dell’ente
di enti esterni cui vi è prassi di accesso
reati connessi all’accesso (art. 615-ter, art. 615-quater)
Accesso dall’esterno al sistema da parte di soggetti esterni al’ente (es.
siti web informativi, di e-commerce; di consultazione ed interazione)
Accesso dall’esterno al sistema da parte di soggetti appartenenti
all’ente (es. reti private virtuali, o “ VPN”)
Prassi nei processi dell’ente di accesso a ambienti informatici e
telematici interni e/o esterni
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
29
AREE A RISCHIO – PRESUPPOSTI
reati di intercettazione, interruzione, impedimento di
comunicazioni
(art. 617 quater, art. 617-quinquies)
reati di danno a sistemi informatici e telematici in senso lato
(art. 615-quinquies) (virus informatici e simili)
(art. 635-bis, art.635-quater) (danneggiamento a soggetti privati)
(art. 635-ter, art.635-quinquies) (danneggiamento a soggetti
pubblici o di pubblica utilità)
i presupposti sono gli stessi dei reati di accesso
frode informatica del certificatore (art.640-quinquies)
sussistenza dello status di ente certificatore (DPR 28/12/2000, n. 445)
(al fine della possibilità di commissione del reato proprio)
nb: il reato può essere commesso in concorso da altri soggetti
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
30
MODELLO ORGANIZZATIVO
CODICE ETICO
• inserire nel Codice Etico-Comportamentale principi e valori per l’utilizzo della
strumentazione informatica nello svolgimento della sua attività;
• recepire nel Codice Etico-Comportamentale, almeno come richiamo, le
modalità di utilizzo e le linee-guida di impiego degli strumenti informatici
contenute nel Documento di Policy Aziendale sull’informatica
• inserire nei contratti con “esterni” l’impegno al rispetto del Codice Etico
In particolare occorre
a) definire e regolamentare affidamento/custodia degli strumenti informatici;
b) definire e regolamentare i limiti di utilizzo degli strumenti informatici (di
norma solo per attività lavorative e non per personali)
c) disporre regole sull’utilizzo di dispositivi e di credenziali di accesso e loro
utilizzazione, compreso l’uso delle aree dei server aziendali;
d) definire e regolamentare le modalità di produzione della documentazione,
anche in forma cartacea, e della loro custodia;
e) definire e regolamentare l’impiego della rete internet e della posta elettronica
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
31
Metodologia IT Governance Institute (2006)
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
32
Metodologia IT Governance Institute (2006)
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
33
Metodologia IT Governance Institute (2006)
1
Plan&Scope IT controls
Pianificazione e ricognizione di tutti i componenti dell’infrastruttura IT
dell’azienda che richiedono un livello di protezione per vulnerabilità
relative al reato di frode informatica, inclusi i sistemi, le reti, le applicazioni
e i dati.
La valutazione delle risorse deve essere verificata in termini quantitativi e
qualitativi per consentire la corretta pianificazione di contromisure o di
misure di protezione, oltre che delle risorse da coinvolgere nel progetto.
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
34
Metodologia IT Governance Institute (2006)
2
Assess IT Risk
Valutazione del livello di rischio associato all’infrastruttura IT (assess IT
risk).
Un rischio è la probabilità che un agente di pericolo sfrutti una
vulnerabilità, definita come un punto debole nel sistema informatico
dell’azienda che può avere un’origine tecnologica piuttosto che legata a
persone o processi.
Vulnerabilità: imperfezioni tecnologiche nell’implementazione di software
o hardware o nella modalità di progettazione o nella struttura di un
sistema, criteri organizzativi definiti e comunicati in modo non efficace:
–un firewall con diverse porte aperte: rischio accessi indebiti
–utenti di un ambiente non sono addestrati su processi e procedure
–sistema di rilevamento di intrusioni non implementato su una
rete: il rischio che un attacco passi inosservato fino a guasto o
malfunzionamento del sistema.
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
35
Metodologia IT Governance Institute (2006)
3-4 Document Controls & Evaluate Control … Effectiveness
Valutazione degi attuali protocolli e procedure di controllo e di sicurezza
adottati in azienda (documents controls), anche mediante delle fasi di test
della loro operatività (evaluate control design and operating
effectiveness).
5
Prioritize & Remediate Deficiencies
Effettuazione della gap analysis secondo gli standard di controllo previsti
e rilevazione delle inefficienze e dei malfunzionamenti che devono essere
gestiti e risolti (prioritize and remediate defIciencies).
6
Build Sustainability
Mantenere la sostenibilità del modello adottato (sustainability).
Ciò implica passare dalla logica del processo svolto una tantum esclusivamente per la compliance - ad una più ampia e pervasiva cultura
dell’IT governance e security.
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
36
MODELLO ORGANIZZATIVO
ANALISI DEI RISCHI
Nell’effettuare la mappatura delle aree di rischi occorre considerare che
a) l’utilizzo della strumentazione informatica coinvolge ogni area
e processo
b) sono rilevanti le capacità informatiche singole
c) la commissione di reati informatici presupposti può avvenire sia con i
mezzi informatici aziendali che di proprietà singola
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
37
MODELLO ORGANIZZATIVO
GESTIONE DEI RISCHI
Definizione dei protocolli penal-preventivi:
• definizione e pubblicizzazione di specifiche deleghe nelle varie
aree aziendali (in particolare, nell’area Informatica), con
precisa specificazione di poteri e responsabilità dell’amministratore
di sistema e dei suoi collaboratori;
• proceduralizzazione delle attività informatiche, nonché delle altre
attività da considerarsi a rischio-reato, svolte con strumenti informatici;
• definizione di un processo continuo di informazione e di formazione
generalizzato su commissibilità di reati informatici presupposti,
e relative misure di prevenzione
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
38
MODELLO ORGANIZZATIVO
GESTIONE DEI RISCHI
Introdurre limitazioni all’uso degli strumenti informatici tramite strumenti
tecnici:
a) Limiti navigazione internet, via proxy, firewall, filtri accesso siti web
b) blocco chat e messaging, programmi social network
c) impedire installazione programmi da parte utenti (nb “licenze”)
d) registrazione delle attività (Log) cfr. provvedimento Garante Privacy
del 27/11/2008 (Misure … prescritte ai titolari dei trattamenti … circa
… attribuzione funzioni a amministratori di sistema)
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
39
MODELLO ORGANIZZATIVO
GESTIONE DEI RISCHI
Collegamento/integrazione con le misure derivanti dal D.Lgs. 196/2003:
- sistemi di autenticazione informatica: non prevengono i reati di
origine interna, ma ne permettono il monitoraggio
- sistemi di autorizzazione: restringono l’accesso ai soli funzionalmente
competenti
- altre misure di sicurezza: utili quelle contro rischio intrusione
(punto 16 All. B) che prevengono i reati di origine esterna
- documento programmatico sulla sicurezza
e
- ulteriori misure in caso di trattamento di dati sensibili e giudiziari;
e
- misure di tutela e garanzia (terzi incaricati)
hanno effetto protettivo ma non preventivo
IN SINTESI: misure ex 196/2003: prevenzione soprattutto reati esterni
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
40
AREE A RISCHIO –
CONTROLLI PER TIPO DI USO IT
Controllo accessi
•attribuzione e gestione credenziali di accesso ai programmi, applicazioni, archivi
•creazione, modifica e cancellazione di account e profili;
•procedure formali per l’assegnazione di privilegi speciali (ad es. amministratori di
sistema, super-user);
Monitoraggio
•sistemi di monitoraggio e log (registrazione eventi, rilevazione e avviso di anomalie);
•verifica sul tracciamento e monitoraggio degli eventi di sicurezza sulla rete;
Policy e organizzazione
•definizione ed organizzazione degli Information Systems Security Officers (ISSO);
•definizione dei ruoli degli utilizzatori, loro profili di utilizzo e poteri;
•verifica atto di nomina Amministratore di Sistema.
•definizione policy di uso dei dati aziendali (gradi di riservatezza e ambiti);
•definizione di politiche di sicurezza delle informazioni, gestione e uso delle password,
modalità di effettuazione dei log-in e log-out, uso della posta elettronica, modalità di
utilizzo dei supporti rimovibili, l'uso dei sistemi di protezione (antivirus,
•accertamento circa l’attività di controllo sull’ operato degli Amministratori di Sistema in
conformità alle policy aziendali.
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
41
AREE A RISCHIO –
CONTROLLI PER TIPO DI USO IT
Privacy
•programma di informazione/formazione periodica dell'incaricato in ambito privacy
•Individuazione di ruoli e responsabilità in ambito privacy ed osservanza delle procedure
aziendali in materia.
•controllo redazione o aggiornamento del Documento Programmatico sulla Sicurezza
(DPS).
•verifica circa l’avvenuta menzione nella relazione accompagnatoria al bilancio della
società dell’avvenuto o meno aggiornamento del DPS;
•controllo in merito alle attività di verifica compiute circa il rispetto delle misure minime di
sicurezza privacy (i.e., controlli periodici IT);
•controllo a campione degli atti di nomina dei ruoli e delle responsabilità in ambito
privacy (i.e., incaricati, responsabili, ecc.) e della documentazione rilevante in materia
(i.e., informativa ex art. 13 per ogni categoria di interessati).
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
42
AREE A RISCHIO –
CONTROLLI PER TIPO DI USO IT
Sicurezza fisica
•protezione fisica dei sistemi e relativi locali (hardware, software, lan, accessi esterni);
•Uso di proxy, firewall, reti private virtuali
•gestione delle credenziali fisiche di accesso (badge, pin, codici di accesso, token
authenticator, valori biometrici, ecc.);
•sistemi di continuità, salvataggio e archiviazione;
•adozione di meccanismi di segregazione delle reti;
•Verifica della sicurezza fisica dei siti ove risiedono i sistemi IT;
Sicurezza logica
•sistemi di protezione logica di dati e documenti (integrità, riservatezza, autenticità, non
ripudio, firma digitale;
•adottare una politica per l'uso di controlli crittografici per la protezione delle informazioni;
•adottare una procedura a governo del processo di generazione, distribuzione ed
archiviazione delle chiavi crittografiche da parte della società;
•Uso di proxy, firewall, reti private virtuali
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
43
AREE A RISCHIO –
CONTROLLI PER TIPO DI USO IT
Documenti informatici
•adottare procedure che regolamentino la digitalizzazione con firma digitale dei
documenti, disciplinando i responsabili, i livelli autorizzativi, l' utilizzo dei sistemi di
certificazione, l'eventuale utilizzo e invio dei documenti e le modalità di storage
Posta elettronica messaging
•adottare procedure che regolamentino la digitalizzazione con firma digitale dei
documenti, disciplinando i responsabili, i livelli autorizzativi, l' utilizzo dei sistemi di
certificazione, l'eventuale utilizzo e invio dei documenti e le modalità di storage
•Introdurre limiti alla navigazione internet, con uso di proxy, firewall, filtri accesso siti web
•Bloccare salvo profili autorizzati l’uso di programmi di chat, messaging e social network
•Impedire l’installazione programmi da parte di utenti non autorizzati
Software e applicazioni
•Disponibilità di ambienti separati di test, collaudo, produzione
•Impedire l’installazione programmi da parte di utenti non autorizzati
•Definire, attuare e verificare l’applicazione di procedure di debugging e aggiornamento
software e applicazioni
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
44
AREE A RISCHIO –
RIFERIMENTI AI PROCESSI
0) TUTTE LE AREE
Accesso ai sistemi ICT aziendali
Uso di posta elettronica
1) CORPORATE GOVERNANCE E DIREZIONE GENERALE
gestione documenti informatici
gestione dati riservati
gestione credenziali e certificati digitali
2) AMMINISTRAZIONE – LEGALE – AFFARI SOCIETARI
gestione documenti informatici
gestione dati riservati
gestione credenziali e certificati digitali per comunicazioni a uffici
pubblici
3) FINANZA E CONTROLLO
processi di pagamento
accesso a sistemi di banche e istituzioni finanziarie
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
45
AREE A RISCHIO –
RIFERIMENTI AI PROCESSI
4) COMMERCIALE E VENDITE
accesso a sistemi di clienti e partner commerciali
gestione documenti informatici
5) R&S
accesso a sistemi esterni
gestione documenti informatici
gestione dati riservati
gestione credenziali e certificati digitali
6) RISORSE UMANE
gestione dati riservati, sensibili
7) APPROVVIGIONAMENTO E ACQUISTI
accesso a sistemi di fornitori e partner commerciali
gestione credenziali e certificati digitali per accesso a gare e
processi di e-procurement
gestione documenti informatici
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
46
AREE A RISCHIO –
RIFERIMENTI AI PROCESSI
8) PRODUZIONE & LOGISTICA
accesso a sistemi di fornitori, clienti e partner commerciali
gestione credenziali e certificati digitali per comunicazioni a uffici
pubblici (es. dichiarazione al registro INES – EPER [“emissioni
inquinanti industriali”])
10) SICUREZZA FISICA
presidio e protezione fisica infrastrutture ICT
11) ICT
presidio e protezione logica sistemi ICT
gestione documenti informatici
gestione credenziali di accesso ai sistemi ICT interni, esterni
gestione procedure assegnazione credenziali e certificati digitali
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
47
Riferimenti e documentazione
“I nuovi reati informatici” (a cura di Paolo Giovanni Demarchi),
Giappichelli, Torino, 2009
IT Governance Institute, “IT control objectives for Sarbanes Oxley”, 2nd Edition, 2006
Rivista “La responsabilità amministrativa delle società e degli enti ”
http://www.rivista231.it/
Giuseppe Dezzani, "Una nuova ipotesi di reato degli enti collettivi: la criminalità
informatica" anno 2008 n 3, pp 71-80
Giuseppe Dezzani, Lorenzo Dell’Agnola, “l’implementazione del modello organizzativo,
gestionale e di controllo negli enti collettivi a seguito dell’inserimento di reati
informatici fra i reati presupposti ex d.lgs. 231/2001 operato dalla legge 48/2008”,
anno 2009 n. 3 pp 65-78
Siti
http://www.complianceaziendale.com/
http://www.aodv231.it/ (Associazione Componenti OdV)
http://www.aiiaweb.it/ (Associazione Italiana Internal Auditors)
Gdl ex-231/2001 – Delitti informatici
Torino 24 maggio 2010 Dott. Carlo Salomone
48