Smau padova 2013 valentina frediani

Titolo della presentazioneAvv. Valentina Frediani
231 e Sicurezza
Informatica

Titolo della presentazione
D. Lgs. n. 231/2001
Introduce nell’ordinamento italiano la responsabilità delle persone
giuridiche, delle società e delle associazioni anche prive di
personalità giuridica per i reati commessi nel loro interesse o a loro
vantaggio da parte di persone fisiche appartenenti alle loro
organizzazioni
231 e Sicurezza Informatica

Esonero da responsabilità
Si ha esonero da responsabilità (esclusione colpevolezza) se l’ente
prova che:
1) L’organo dirigente ha ADOTTATO ed EFFICACEMENTE ATTUATO,
PRIMA della commissione del fatto di reato, MODELLI di
ORGANIZZAZIONE e di GESTIONE (schemi, protocolli operativi e
procedure) idonei a prevenire i reati presupposto della specie di
quello verificatosi.
2) Il compito di VIGILARE sul funzionamento e l’osservanza dei modelli
e di curare il loro aggiornamento ed adattamento alla concreta
realtà dell’ente è stato affidato ad un organismo dell’ente dotato di
POTERI AUTONOMI di INIZIATIVA e CONTROLLO (ORGANO DI
VIGILANZA).

Esonero da responsabilità
3) Le persone hanno commesso il fatto eludendo
FRAUDOLENTEMENTE i modelli di organizzazione e di gestione.
4) Non vi è stata OMESSA o INSUFFICIENTE vigilanza da parte
dell’organo di vigilanza.
Attenzione
Le suddette 4 condizioni devono sussistere contemporaneamente;
se ne manca anche una sola l’ente è pienamente responsabile.

Caratteri del Modello di Organizzazione
Gestione e Controllo
• MAPPATURA Aree di Rischio-poteri delegati all’interno
• Predisposizione PROTOCOLLI (procedure) volti a
PROCEDIMENTALIZZARE l’iter di formazione ed ATTUAZIONE delle
decisioni dell’ente in relazione ai reati da prevenire
• consentire la c.d. TRACCIABILITA’ delle decisioni/segmenti
processo decisionale ai fini dell’individuazione delle responsabilità
• prevedere MODALITA’ DI GESTIONE DELLE RISORSE FINANZIARIE
idonee impedire commissione reati presupposto
• Introduzione SISTEMA DISCIPLINARE
• Previsione OBBLIGHI INFORMATIVI ( reports, segnalazioni, flussi
informazioni) nei confronti ODV) .

Condizioni Scriminanti del Modello: quando
evita la responsabilità dell’ente?
• Adottato ed efficacemente attuato(EFFETTIVITA’ del modello)
• ESENZIONE RESPONSABILITA’: solo se ente dimostri che ha adottato ed
attuato modelli di organizzazione e gestione idonei a prevenire reati
(presupposto)della specie di quelli verificatesi
• Inversione ONERE PROVA: in caso di reato presupposto commesso da
figura apicale; NON PM che deve provare la responsabilità ma ente che
dovrà dimostrare che ha adottato ed efficacemente attuato un modello
organizzativo tale da impedire la commissione di reati
• VIGILANZA EFFETTIVA OPERATIVITA’ ed OSSERVANZA dei modelli

Struttura Modello Organizzazione e
Gestione(art.6,c.2,D.Lgs 231/2001)-Premesse
• Elementi essenziali ed immodificabili
• Tarato in relazione a natura,dimensione e tipo di attività svolta da
ente
• Non è uguale in tutte le aziende ma cambia in base a condizioni
INTERNE (dimensioni,struttura organizzativa) ed ESTERNE (settore
economico, collocazione geografica) in cui ciascuna impresa
opera
• Se EFFICACE deve mettere l’autore del reato nelle condizioni di
commetterlo SOLO raggirando fraudolentemente il modello e gli
organi di controllo
• Se adottato prima dell’inizio del dibattimento di primo
grado:riduzione pene pecuniarie(art. 12,c. 2, lett.b),concorre ad
evitare a ente sanzioni interdittive(art. 17 lett.b)

Le Sanzioni (artt.9-23 D.lgs.231/2001)
• SANZIONI PECUNIARIE: indefettibili
• SANZIONI INTERDITTIVE: solo nei casi di PARTICOLARE GRAVITA’.
• Sanzioni interdittive : 1) interdizione,anche temporanea,da esercizio
attività;
2) sospensione/revoca autorizzazioni,licenze o
concessioni;
3)divieto di contrattare con la PA, salvo che per ottenere un pubblico servizio;
4)esclusione/revoca agevolazioni,finanziamenti
• Divieto di pubblicizzare beni o servizi.
• Sanzioni interdittive non si applicano in presenza di condotte di efficace
riparazione o reintegrazione dell’offesa
• CONFISCA: su prezzo o profitto del reato adottata anche per equivalente

Delitti informatici e trattamento illecito di
dati (24-bis)
 accesso abusivo ad un sistema
 intercettazione comunicazioni
 danneggiamento di informazioni, dati programmi e sistemi
 detenzione o diffusione abusiva di codici di accesso a sistemi
 frode informatica
 violazione del diritto d’autore

Aree/Soggetti particolarmente sottoposti ai
rischi
• Security
• Informatica: tutto il settore informatico, comprese le banche dati
interne ed esterne
• Accessi abusivi e/o in aree non autorizzate
• Smarrimento/furto codici di accesso o password
• Alterazione dati presenti nel sistema della società
• Attività dell’Amministratore di Sistema
• Pc portatili e tecnologie con accesso alla rete
• Strumenti di memorizzazione di massa

Normative che contribuiscono alla 231
 Decreto Legislativo n. 196/2003
 Provvedimento in materia di amm.re di sistema
 Regolamento informatico, posta elettronica e log di connessione
 Regolamento in materia di dismissione di spazzatura elettronica
 SOX
 ISO 27001

Documentazione di riferimento per il rispetto
della normativa
• Codice etico
• Procedure interne e policy aziendali
• Manuale della qualità
• Documento Programmatico sulla Sicurezza
• Regolamento informatico
• Documentazione in materia di ADS

Il ruolo dei consulenti e dei partners
I consulenti e partner dovranno essere notiziati in merito adozione del
modello e del codice etico ed in merito al loro obbligo di attenervisi.
Devono, inoltre:
- osservare principi di correttezza e trasparenza
- astenersi da condotte integranti le fattispecie criminose con
particolare riferimento alle condotte di rilevanza informatica
eventualmente tenute presso i clienti finali

Alcune prescrizioni in materia di sicurezza per la
prevenzione dei reati
- La gestione delle credenziali di autenticazione secondo i
parametri normativi
- La comunicazione di attivazione/disattivazione di un profilo di
autorizzazione
- La verifica periodica delle utenze effettivamente attive
- La verifica periodica delle procedure di back-up
- La valutazione periodica dei rischi da accessi esterni

Procedure operative
• Connessione utente a rete tramite codice di autenticazione univoco e
personale
• Assegnazione password al momento del conferimento del potere di
accesso con obbligo di modifica al primo accesso
• Obbligo di modifica password da parte utente, qualora questi dubiti che
la stessa possa essere non piu’ sicura
• Divieto di annotazione delle password in chiaro o su supporto cartaceo o
informatico
• Requisiti minimi di complessità password(almeno 8 caratteri)
• Modifica almeno trimestrale password
• Utilizzo rete interna per i soli scopi da quelli ai quali è destinata
• Riconoscimento siti visitati

Procedure operative
• Utenti rete internet devono avere account su dominio di lavoro
società
• Account deve essere un identificativo composto da nome e
cognome dell’addetto
• Divieto di navigazione dei dipendenti su siti non conferenti con
l’attività aziendale
• Divieto uso caselle posta elettronica per usi personali
• Possibilità di accesso a posta elettronica dipendente da parte di
un delegato dalla Direzione
• Divieto per dipendenti di partecipazione a mailing list, forum,blog
o chat
• Cautele e ulteriori prescrizioni tecnico-operative relative alla posta
elettronica

Strumenti atti alla prevenzione
 Adozione sistemi di monitoraggio download od
adozione politiche di restrizione download
 Adozione politiche di filtering
 Monitoraggio delle navigazioni
 Utilizzo di impostazioni specifiche per posta elettronica

Controlli
 Loggatura con conservazione semestrale dei log di ADS
 Attuazione di verifiche periodiche da parte del Responsabile IT
 Controlli effettuati dall’ODV
 Verifica procedura gestione
posta elettronica
 Verifica a campione composizione pw
 Verifica senza preavviso delle procedure di back-up

Titolo della presentazione231 e Sicurezza Informatica
Avv. Valentina Frediani
vfrediani@consulentelegaleinformatico.it

Smau padova 2013 valentina frediani

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (14)

Destacado

Destacado (15)

Similar a Smau padova 2013 valentina frediani

Similar a Smau padova 2013 valentina frediani (20)

Más de SMAU

Más de SMAU (20)

Smau padova 2013 valentina frediani