231 e reati informatici, modelli organizzativi e responsabilità dell'OdV

L'organismo di vigilanza è obbligato a garantire gli standard minimi di sicurezza aziendale al fine di prevenire i reati informatici?  Quale responsabilità è attribuibile all'organismo di vigilanza che non adotta un documento programmatico a tutela della sicurezza del lavoro e dei dati informatici?

La responsabilità penale dell'organismo di vigilanza trova la sua disciplina giuridica nel Decreto Legislativo 231/2001 e nella legge n. 48 del 2008 che ha dato attuazione alla Convenzione del Consiglio d'Europa del 23 novembre 2001, che ha introdotto l'art. 24 – bis rubricato "Delitti informatici e trattamento illecito dei dati".

In merito alla dibattuta questione giuridica in tema di responsabilità penale dell'organismo di vigilanza per i reati anche informatici compiuti all'interno dell'ente, inteso quale persona giuridica, la soluzione è da rinvenirsi nella recente giurisprudenza, secondo la quale, l'organismo di vigilanza non è obbligato ad adottare le cautele organizzative e gestionali, necessarie a prevenire la commissione di illeciti.

La sentenza della Suprema Corte di Cassazione del 24 aprile 2014, n. 38343, ha statuito il principio giuridico secondo il quale, la colpa di organizzazione, da intendersi in senso normativo, è fondata sul rimprovero derivante dall'inottemperanza da parte dell'ente dell'obbligo di adottare le cautele organizzative e gestionali, necessarie a prevenire la commissione di reati previsti tra quelli idonei a fondare la responsabilità del soggetto collettivo, dovendo tali accorgimenti essere consacrati in un documento che individua i rischi e delinea le misure atte a contrastarli.

La legge n. 48 del 2008 di ratifica e attuazione alla Convenzione del Consiglio d'Europa del 23 novembre 2001, ha introdotto nel decreto legislativo 231 del 2001, l'art. 24 – bis rubricato "Delitti informatici e trattamento illecito di dati".

Tale disposizione rappresenta l'attuazione, nell'ambito dell'ordinamento italiano dell'art. 12 della Convenzione del Consiglio d'Europa, la quale vincolava le parti a prevedere, attraverso l'adozione di misure compatibili con i principi dell'ordinamento giuridico interno, una forma di responsabilità per le persone giuridiche nell'interesse o a vantaggio delle quali fossero stati posti in essere reati informatici.

Le ragioni che sottendono a tale scelta legislativa sono da rinvenirsi nel d.lgs n. 231 del 2001 essendo il testo normativo con il quale il fenomeno della responsabilità giuridica delle società e delle persone collettive viene regolamentato nell'ordinamento italiano, in sede di ratifica della Convenzione di Budapest, per cui si è scelto di far convogliare le nuove fattispecie penali all'interno di tale decreto legislativo, inserendo l'art. 24 – bis.

Con riguardo ai reati informatici la struttura imputativa della responsabilità alla persona giuridica è quella dettata dall'art. 5 d.lgs. n. 231/2001. Anche in tal caso il reato presupposto deve essere stato commesso nell'interesse o a vantaggio dell'ente collettivo e ad opera di coloro che rivestono funzioni di rappresentanza, amministrazione, direzione, o da persone che sono sottoposte all'altrui direzione o vigilanza.

In relazione a tali fattispecie criminose la persona giuridica potrà vedersi esente o esclusa da responsabilità nel caso in cui abbia strutturato la propria organizzazione societaria in modo da ridurre le possibili violazioni della legge penale, predisponendo " modelli organizzativi volti ad individuare le sedi, le modalità e le finalità del compimento dei relativi reati, in modo da predisporre una rete di controlli atta a garantire la massima trasparenza alle operazioni informatiche, sia a livello apicale, sia fra i dipendenti" (H.Belluta, Cybercrime e responsabilità degli enti, in AA.VV., Sistema penale e criminalità informatica, in L. Luparia, Giuffrè, Milano 2009) .


L'adozione di tali modelli organizzativi con riferimento alla criminalità informatica è di estrema importanza, poiché i delitti cibernetici si caratterizzano per il contesto organizzativo della struttura di cui l'azienda e/o società dispone.

Non sempre è agevole individuare all'interno dell'azienda e/o società la persona fisica alla quale attribuire il compimento di un probabile reato informatico e ciò perché, sia i terminali, e sia le password, il più delle volte possono essere utilizzati o comunicati da alcuni dipendenti a dirigenti, al fine di permettere a questiultimi di espletare i controlli o solo di concedere autorizzazioni per il compimento di determinate operazioni.

I reati informatici più comuni commessi all'interno di aziende e/o società sono da ravvisarsi nell'accesso abusivo ad un sistema informatico o telematico (art. 615 - ter c.p.), l'impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617 – quater c.p.), il danneggiamento di informazioni, di dati e programmi informatici (art. 635 – bis c.p.), la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615 – quater c.p.) e la diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare un sistema informatico o telematico (art. 615 – quinquies c.p.).

Per cui, al fine di evitare la commissioni di tali reati da parte di soggetti che, peraltro, potrebbero rimanere impuniti nonostante abbiano utilizzato in modo fraudolento le strutture informatiche della società e/o azienda per la quale operano, è importante che queste ultime adottino gli standards minimi di sicurezza, sia in ambito lavorativo, sia informatico.

La messa in sicurezza di una società, azienda o ente deve essere garantita da una prima attività, che è quella del sopralluogo aziendale riguardante il "domicilio informatico" inteso quale spazio fisico ed ideale, attinente alla sfera individuale personale, tutelata dalla Costituzione, con riferimento ai dati di carattere sia personale che patrimoniale. (Cfr: Cass., Sez. VI, 4 ottobre 1999, PM e Piersanti, in Foro it., 2000, II, c. 133).

L'azienda venuta a conoscenza, in seguito al sopralluogo, di quelle che sono le proprie criticità o défaillance,  dovrà dotarsi di adeguati modelli organizzativi, di gestione e controllo che garantiscano la trasparenza dei flussi decisionali e dei processi aziendali, secondo un criterio di tracciabilità delle decisioni e delle operazioni, al fine di impedire o quantomeno consentire l'individuazione delle condotte d'illecito relative alle strutture e sistemi informatici.

All'interno dei modelli organizzativi deve essere previsto un documento programmatico di sicurezza (DPSS) che deve essere redatto in ossequio alle disposizioni di legge in materia di Privacy (DGPR 679/2016 e art. 34 D.Lgs n. 196 del 30 giugno 2003).

Lo scopo del documento programmatico di sicurezza aziendale consiste nel definire le politiche di sicurezza in materia di dati Personali/Comuni/Sensibili/Giudiziari, sia con l'ausilio di attrezzature informatiche, che senza, e nel fornire idonee informazioni relative alla tipologia di dati trattati a livello nazionale.

La Giurisprudenza con una recente pronuncia in tema di dati personali, nel richiamare l'art. 28 del d.lgs. del 2003,  individua il titolare del trattamento nella persona giuridica e non nel suo amministratore o legale rappresentante, venendo in rilievo un'autonoma responsabilità in deroga al principio dell'imputabilità personale della sanzione di cui alla legge n. 689 del 1981, e fondando tale tipo di responsabilità sul concetto di "colpa di organizzazione". (Cfr: Cass. Civ. Sez. II Ord., 03/09/2020, n. 18292 (rv. 659101-02)).

La colpa di organizzazione deve intendersi come rimprovero derivante dall'inosservanza da parte dell'ente dell'obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione di illeciti.

Elemento centrale, e strettamente connesso allo strumento dei modelli per la prevenzione interna delle condotte delittuose di figure apicali e dipendenti, è l'organismo di controllo che ha il compito di vigilare sul funzionamento dei Modelli, sulla loro osservanza e sul loro aggiornamento, così come disciplinato dall'art. 6, comma 1, lett. b), del d.lgs. n. 231/2001.

L'organismo di vigilanza è interno all'ente e di certo non può essere identificato con gli organismi di direzione, amministrazione e controllo, già statutariamente operanti, che sono sottoposti alla sua vigilanza.

Di particolare importanza è il sindacato giudiziale in ordine alla autonomia dell'ODV e all'effettività dei poteri di controllo ad esso conferiti.

Tale organismo gode di autonomia all'interno dell'ente per svolgere le proprie funzioni, tra le quali rientrano quella di denunciare le disfunzioni e sollecitare l'intervento degli organi di direzione e di amministrazione, e gli deve essere garantita la prerogativa di mantenere la riservatezza sulle informazioni raccolte.

La giurisprudenza di legittimità ha affermato il principio secondo cui il modello organizzativo che prevede l'istituzione di un organismo di vigilanza non provvisto di autonomi ed effettivi poteri di controllo, ma sottoposto alle dirette dipendenze del soggetto controllato, non è idoneo ad esimere la società da responsabilità.

I componenti dell'organo di controllo, su cui grava esclusivamente un obbligo di sorveglianza, non sono punibili penalmente per non aver impedito il reato commesso all'interno dell'ente (concorso omissivo), per la mancanza di poteri impeditivi della commissione del fatto-reato.

Il mancato o insufficiente controllo comporterebbe dunque delle semplici conseguenze di tipo contrattuale (scioglimento dell'organismo, revoca di alcuni componenti, ecc.) nei confronti dei soggetti responsabili del controllo.

I modelli organizzativi, ai sensi dell'art. 6, comma, 3 del d.lgs. n. 231/2001, possono essere adottati sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti e comunicati al Ministero della Giustizia che, di concerto con i ministeri competenti, può formulare entro trenta giorni osservazioni sulla idoneità dei modelli alla prevenzione dei reati.

Sul punto è sorto un articolato dibattito circa il rapporto che intercorre tra i codici di comportamento ed i singoli modelli adottati da ciascun ente e circa l'estensione dei poteri del giudice in ordine ai modelli conformi a quelli predisposti dall'associazione di appartenenza.

Una prima impostazione dottrinale avvalora il potere - dovere del giudice di accertare l'idoneità ex ante del modello.

Altra parte della dottrina, invece, ritiene che debba rinvenirsi - pena la vanificazione del comma 3 dell'art. 6 del d.lgs. 231/2001 - una qualche differenza tra l'ipotesi di un modello organizzativo conforme a codici comportamentali redatti dalle associazioni di appartenenza e avallate dal Ministero della giustizia, e quella che invece sia frutto dell'autonoma decisione del singolo ente di munirsi di un compliance program, evidenziando che nel primo caso il giudice ha davanti un "paradigma forte", in quanto risultante di un procedimento di controllo di tipo amministrativo.

In tal caso, con un giudizio da concludersi ex post, il giudice dovrà considerare che la fonte di provenienza esterna ingenera il ragionevole affidamento che il rispetto di quelle cautele consentirà di evitare il prodursi di una situazione finale a carattere criminoso. Il che significa che la soglia di prevedibilità da valutarsi sempre oggettivamente subirà un sensibile innalzamento. (Cfr: C. Piergallini, op. ul. Cit., 594; Foglia Manzillo, Nessun obbligo per l'organo di vigilanza di impedire gli illeciti penali, in Dir. prat. Soc., 2003, n. 5, 36 ss.; La Rossa, op. cit., 1310 ss.) .

La Corte di Cassazione Penale a Sezioni Unite, con la sentenza del 24/04/2014, n. 38343, in tema di responsabilità da reato, ha statuito il principio secondo il quale, la colpa di organizzazione, da intendersi in senso normativo, è fondata sul rimprovero derivante dall'inottemperanza da parte dell'ente dell'obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione dei reati previsti tra quelli idonei a fondare la responsabilità del soggetto collettivo, dovendo tali accorgimenti essere validati in un documento che individua i rischi e delinea le misure atte a contrastarli.
L'ente, quindi, non può andare esente da responsabilità ogniqualvolta si riscontri l'inadeguatezza del modello di organizzazione e controllo atto ad evitare un incidente sul lavoro (Cfr: Cass. Pen. Sez. IV, 22/01/2020, n. 13575; Conforme: Consiglio di Stato Sez. IV, Sent., 18/01/2016, n. 143).

La persona giuridica, quindi, risponde  dell'illecito amministrativo derivante da un reato-presupposto per il quale sussista la giurisdizione nazionale, commesso dai propri legali rappresentanti o soggetti sottoposti all'altrui direzione o vigilanza, a prescindere dalla nazionalità dell'ente e dal luogo ove esso abbia la sede legale, nonché dall'esistenza o meno, nello Stato di appartenenza, di norme che disciplinano analoga materia, anche con riguardo alla predisposizione ed all'efficace attuazione di  modelli organizzativi e di gestione atti ad impedire la commissione di reati fonte di responsabilità amministrativa ai sensi del d.lgs. 8 giugno 2001, n. 231 (Cfr. Cass. Pen. Sez. VI Sent., 11/02/2020, n. 11626).

Inoltre, in tema di responsabilità amministrativa dell'ente, l'accertamento del fatto sussiste sempre, poiché va verificato se commesso a suo vantaggio o nel suo interesse, quale presupposto per l'applicazione delle sanzioni previste dal d.lgs 231/2001. La responsabilità dell'ente, infatti, permane anche nel caso in cui il reato da cui essa dipende sia estinto per causa diversa dall'amnistia (Cfr. Cass. Pen. Sez. III, 24/05/2019, n. 14724).

Nella disciplina dei reati informatici è necessario procedere ad una trattazione unitaria con particolare riferimento all'oggetto materiale e agli strumenti mediante i quali tali delitti vengono commessi, richiedendo tali illeciti l'utilizzo o l'aggressione da parte del soggetto agente di un sistema di elaborazione dati.

I reati informatici sono reati comuni, anche se in alcuni casi particolari possono essere commessi solo da chi riveste determinate qualifiche, come avviene per i reati commessi dagli "operatori di sistema" (si pensi ai reati di accesso abusivo ad un sistema informatico o telematico, alla detenzione e diffusione abusiva dei codici di accesso a sistemi informatici o telematici e alla diffusione di apparecchiature, dispositivi o programmi diretti a danneggiare o interrompere un sistema informatico o telematico) o a quelli commessi dai c.d. provider, ossia i soggetti – siano essi persona fisica o ente collettivo – che forniscono a terzi l'accesso ad internet, gratuitamente o a pagamento e che sono responsabili degli illeciti commessi da terze persone se nel momento in cui ne vengono a conoscenza non li segnalano alle autorità competenti.

L'oggetto materiale dei reati informatici non trovava alcuna definizione nella legge n. 547 del 1993, concetto ripreso dalla Convenzione di Budapest.
L'art. 1 della Convenzione di Budapest individua il "sistema informatico" in "qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l'elaborazione automatica dei dati".
Secondo una impostazione dottrinaria, l'elemento che caratterizza il sistema informatico è la capacità dello strumento di elaborare dei dati in formato digitale, essendo l'attitudine della macchina ad organizzare ed elaborare gli input esterni sulla base di un apposito software che consente di distinguere l'apparecchiatura informatica da quella elettronica in cui rientrano, ad esempio, la macchina calcolatrice, la cellula fotoelettrica, gli mp3. (S. Aterno, Aspetti problematici dell'art. 615 quater c.p., in Cass. Pen., 2000; F.R. Fulvi, La Convenzione Cyber crime).

Il problema si pone allorquando diverse apparecchiature informatiche vengono messe in connessione fra di loro mediante appositi canali di comunicazione idonei alla trasmissione a distanza di dati e di informazioni.

Tali strumenti, poiché funzionano in regime di reciproca implementazione, danno vita ad un unico insieme di risorse di calcolo e ciò determina la presenza, ai fini penali, non di una pluralità, bensì di un unico sistema informatico.

Per cui, qualora all'interno di un'azienda vi siano più postazioni di personal computer in comunicazione fra loro a mezzo di una connessione nell'ambito di un'unica rete telematica, qualora un terzo acceda abusivamente al sistema informatico mediante una illegittima intrusione all'interno delle memorie di più computer, egli realizzerà un solo illecito penale, a prescindere dal numero di calcolatori materialmente interessati alla condotta criminosa.

I reati informatici assumono una particolare importanza anche per ciò che concerne il profilo del comportamento materiale che viene posto in essere nell'ambito dei cybercrimes.

La condotta del soggetto agente, infatti, quale comportamento esteriore che provoca – quantomeno nei reati commissivi, categoria cui appartengono i reati informatici – una modificazione del mondo esterno, in altre ipotesi assume una dimensione diversa.
In effetti, tutte le azioni che avvengono in rete assumono l'aspetto di comportamenti comunicativi, che consistono nella trasmissione o nel trasferimento dei dati elettronici.
Il singolo soggetto, agente di un reato informatico, è in grado di interagire sia con il computer di sua pertinenza – cui fa materialmente pervenire il comando – sia su altri elaboratori: ciò determina che da una singola condotta, anche di scarso significato, possono derivare una molteplicità di conseguenze e di eventi, dislocati in più luoghi spaziali ed anche in momenti temporali diversi.

Un primo problema, in tal caso, si pone riguardo alla individuazione della giurisdizione del luogo in cui viene commesso il delitto informatico.

Il criterio adottato dal nostro ordinamento giuridico è quello dell'art. 6 c.p., a norma del quale un reato si considera commesso nello Stato italiano se nel suo territorio si è realizzata l'azione o l'omissione, ovvero si è verificata almeno una parte della condotta o dell'evento.
Ne deriva che la legge italiana troverà applicazione, sia nel caso in cui l'agente provochi uno scambio di dati fra sistemi informatici operanti in Italia, sia nel caso in cui in Italia si realizza solo una parte della condotta o dell'evento criminoso.

La disciplina della tutela dei dati personali non è avulsa dalla responsabilità amministrativa delle società e degli enti, ovvero dal  Modello 231/2001, ma è ad essa collegata.
Il Regolamento Europeo 679/2016 (GDPR), che disciplina la tutela della privacy, si basa fondamentalmente sul principio noto come "accountability", che prevede la realizzazione di una valutazione d'impatto sulla protezione dei dati personali.

Il D.lgs. 231/2001, invece, si fonda sull'analisi dei rischi riferita ai reati presupposto, per cui le società o gli enti sono obbligati alla predisposizione di modelli di organizzazione e gestione aziendale adeguati ed idonei a provare il rispetto del criterio del c.d. approccio basato sul rischio, così come ampiamente trattato precedentemente.

In realtà, sia il modello GDPR 679/2016 a tutela della privacy e della protezione dei dati personali, sia il modello 231/2001 che riguarda la responsabilità amministrativa degli enti si può dire che hanno un approccio simile in merito al dovere di osservanza degli obblighi normativi.

In realtà i delitti in materia di privacy sono entrati a far parte di quei reati da cui scaturisce la responsabilità amministrativa/penale di una società o di un ente, con particolare riferimento proprio ai delitti informatici o al trattamento illecito dei dati di cui all'art. 24 – bis del D.lgs. 231/2001.

Per cui una società o un ente, che intenda andare esente da responsabilità secondo il modello 231/2001, dovrà adottare tutte le cautele organizzative e gestionali necessarie a prevenire la commissione dei reati previsti tra quelli idonei a fondare la responsabilità del soggetto collettivo, dovendo tali accorgimenti essere consacrati in un documento che individua i rischi e delinea le misure atte a contrastarli.

L'ente, quindi, risponderà dell'illecito amministrativo anche laddove l'autore del reato presupposto non sia stato identificato o non risulti imputabile o quando la persona fisica a cui è stata attribuita la responsabilità del reato presupposto sia stata assolta, non potendosi considerare l'illecito amministrativo addebitabile all'ente, ai sensi del D.lgs. 231/2001, come una responsabilità sussidiaria del fatto altrui, richiedendosi soltanto che il reato risulti espressione di una politica aziendale deviante o, comunque, frutto di una c.d. colpa di organizzazione (Cfr. Cass. Pen. Sez. I, 02/07/2015, n. 35818).

Le società, quindi, al fine di tutelarsi e di non incorrere in una delle forme di responsabilità previste dal D.lgs. 231/2001, con particolare riferimento ai delitti informatici di cui all'art. 24 -bis del D.lgs. n. 231/2001 dovrà affidarsi ad un team di esperti qualificati, ovvero a società di consulenza che effettuino l'analisi dei rischi con accurati e meticolosi sopralluoghi per l'implementazione di tutti i modelli organizzativi e gestionali necessari a prevenire la commissione dei reati idonei a fondare la responsabilità del soggetto collettivo.

Tali accorgimenti, infine, dovranno essere formalizzati in un documento che individua i rischi e delinea le misure adeguate atte a contrastarli, secondo il criterio del c.d."risk -based approach".

____

*A cura di Giuseppe Aiello, Avvocato del Foro di Lagonegro - Partner 24 ORE Avvocati