Cybercrimes e D.Lgs 231/2001. Quali i rischi in tempi di emergenza sanitaria?

L’enorme e crescente diffusione degli strumenti informatici accentuata dalla recente pandemia mondiale che ha imposto l’adozione di nuovi strumenti - quali lo smartworking - senza che nel contempo venissero predisposte verifiche tecniche volte a rendere sicuri, da un punto di vista informatico, le modalità del lavoro agile ha imposto agli Enti collettivi di individuare nel MOG specifici presidi per le prevenzione dei cd. cybercrimes.

A seguito dell’entrata in vigore della Legge n. 48/2008, difatti, è stato introdotto nel  D.Lgs. 231/2001 l’art. 24-bis rubricato “Delitti informatici e trattamento illecito di dati”, da ultimo modificato dalla L. 18 novembre 2019 n. 133, la quale ha inserito taluni reati informatici, prima assenti, nel catalogo dei reati presupposto, tra cui si annoverano l’accesso abusivo ad un sistema informatico ex  art. 615-ter c.p. (che punisce chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo), nonché la detenzione o diffusione abusiva di codici di accesso a sistemi informatici o telematici ex art. 615-quater c.p. (che sanziona chiunque, al fine di procurare a sé un profitto o di arrecare altri un danno, abusivamente si procuri, riproduca, diffonda, comunichi o consegni codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico protetto da misure di sicurezza o comunque fornisca indicazioni o istruzioni idonee al predetto scopo).

Non vi è ombra di dubbio che i repentini cambiamenti determinati dall’emergenza sanitaria hanno amplificato l’esigenza per le società di mantenere un controllo a fini preventivi, anche laddove la prestazione lavorativa sia svolta nelle forme del cd. “lavoro agile”.

Contemperare l’esigenza dell’Ente collettivo di porre in essere misure idonee volte alla prevenzione dei reati informatici con il diritto dei lavoratori al rispetto della sfera “personale”, tuttavia, è questione tutt’altro che semplice, atteso che alla disciplina penalistica si affianca quella giuslavoristica e privacy.

E’ pacifico che le aree di maggior rischio di commissione dei reati informatici si rinvengono proprio nel campo della gestione degli accessi, nell’attività online, nel controllo della sicurezza informatica, così come della gestione e nell’utilizzo di software, nonchè nella manutenzione degli applicativi.

E’ evidente, allora, come una buona gestione della compliance aziendale presupponga necessariamente un approccio basato sulla accountability, ovvero la responsabilizzazione dei soggetti coinvolti, nonché nell’analisi del processo, attraverso un metodo basato sul rischio (c.d. risk assessment) che sia pienamente coerente con i presidi aziendali predisposti.

Ciò significa:

• Predisposizione di strumenti tecnologici funzionali ad impedire reati informatici da parte di dipendenti;
• Procedure volte a disciplinare l’uso degli strumenti personali;
• Uso di sistemi cloud che consentano selezione dei fornitori ammessi e restrizione dei servizi per la trasmissione di documenti aziendali

Ma come è cambiata l’attività di vigilanza in tema di cybercrimes dell’O.d.V. ai tempi del Covid?L’emergenza sanitaria ha visto un ampliamento - sia in termini qualitativi sia quantitativi - della sfera di controllo dell’OdV, al quale sono richieste alte competenze in campo penalistico, in primis nel settore IT e cybercrimes.

E’ evidente, infatti, che in tempo di remote- working il problema della riservatezza e del controllo dei dati così come quello della sicurezza delle infrastrutture tecnologiche (si pensi alle reti “domestiche” di cui si avvalgono i lavoratori nel loro domicilio) ha assunto un ruolo primario, che non può in alcun modo essere ignorato.