Sicurezza delle reti informatiche, il Decreto legge n.105 - Riskmanagement

Normative

Sicurezza delle reti informatiche, il Decreto legge n.105

Al centro del provvedimento legislativo c’è la difesa delle reti e dei sistemi informatici del nostro Paese, siano essi pubblici o privati. Nuova fattispecie di reato: la responsabilità amministrativa dei destinatari della speciale normativa decreto ai sensi del D. l. n.231/01

05 Nov 2021

Angelo Jannone

Coordinatore del Comitato Scientifico di Federprivacy

Il Decreto Legislativo del 21 settembre 2019 n.105 ha riacceso il tema della Difesa 4.0, ossia la difesa cibernetica. I tempi sembrano oramai maturi anche per il nostro Paese per la diffusione di una nuova cultura di difesa nazionale: da un concetto di protezione dei confini fisici affidati alle istituzioni dello Stato, alla difesa condivisa dei confini virtuali, dalla protezione dei territori alla protezione dei nostri asset strategici: dati e informazioni.

Secondo l’ultimo rapporto del Clusit, gli attacchi cyber nel settore della sanità, ad esempio, sono cresciuti in Italia del 99% in 12 mesi e nel mondo segnano un +38% nel 2018. A rischio è l’intera società digitale. Ma forse non è solo questo, perché la difesa cyber non è solo la difesa dei dati e delle informazioni che rappresentano il know how di molti gioielli industriali del nostro paese. Ma con l’integrazione sempre più marcata tra spazio virtuale e mondo fisico, con lo sviluppo dell’IoT, con l’aumento esponenziale dei device e degli oggetti connessi con il futuro delle smart city è oramai chiaro a tutti che un attacco cyber è e sarà sempre più in grado di creare disagi gravissimi per la società.

Gestire e garantire la sicurezza dello spazio cibernetico non è come proteggere un Paese in un qualsiasi altro dominio fisico (come terra, mare o cielo). Gli attacchi cibernetici sono la materializzazione estrema di quelle forme di guerra asimmetrica teorizzata da Liang Qiao e Xiangsui Wang in “Guerra senza limiti ” (edizioni Bam 2016), in cui il terreno di scontro si contraddistingue per una serie di caratteristiche che lo rendono unico rispetto agli altri spazi di attacco e di difesa: è uno mondo estremamente complesso e interconnesso, un terreno particolarmente pericoloso e arduo da difendere.

I presupposti del Decreto n.105

Tornando al Decreto n.105, esso mira ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici non solo delle amministrazioni pubbliche, ma di tutti gli Enti e operatori nazionali, pubblici e privati, le cui reti sono necessarie per l’esercizio di una funzione essenziale dello Stato, ossia: i) per l’assolvimento di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato; ii) quando l’esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici il cui malfunzionamento, interruzione – anche parziali – o uso improprio possono pregiudicare la sicurezza nazionale.

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici
Sicurezza
Cybersecurity

Il comma 2 dell’articolo 1 demanda l’individuazione dei soggetti da includersi nel perimetro di sicurezza nazionale cibernetica, e quindi destinatari della speciale normativa, a un Decreto della Presidenza del Consiglio dei Ministri, che sarà adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR), entro quattro mesi dalla data di entrata in vigore della legge di conversione del decreto-legge.

Ma dalla lettura del dossier e dal rinvio al decreto legislativo 18 maggio 2018, n.65 in attuazione della direttiva NIS (Network and Information Security) sulle misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (2016/1148 del 6 luglio 2016), appare palese quali potranno essere i settori ritenuti strategici e,quindi, componenti lo spazio cibernetico: energia e trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali. (art.4 d.lgs 65/18)

E dovrebbero essere i Ministeri competenti (Ministero dello sviluppo economico, Ministero dell’economia e delle finanze, Ministero della salute e Ministero dell’ambiente e della tutela del territorio) ad assumere il ruolo di Autorità NIS, ossia quelle Autorità a cui il decreto 65/2018 demanda tutta una serie di compiti di controllo e di aggiornamento dell’elenco degli operatori dei servizi essenziali.

Una norma che dovrà però coordinarsi con il più recente Decreto 105/2019 che, invece, affida le funzioni ispettive e di vigilanza alla sola Presidenza del Consiglio dei ministri ed al Ministero dello sviluppo economico (art. 1 comma 6, lett. c).

Il Decreto 105 prevede una nuova fattispecie penale 

È con riferimento a tali attività di controllo e di aggiornamento degli elenchi che si inserisce una novità fondamentale introdotta dal decreto 105: la responsabilità amministrativa dei destinatari della speciale normativa decreto ai sensi del d.lgs 231/01 (comma 11 bis).

Gli enti destinatari, infatti, possono essere chiamati a rispondere ai sensi del Decreto n.231, qualora un esponente degli stessi si dovesse – per semplificare il concetto – rendere responsabile della nuova fattispecie penale introdotta dal Decreto 105 (art. 1 co.11). Quest’ultimo punisce con la reclusione da 1 a 3 anni coloro che forniscono informazioni o dati non rispondenti al vero rilevanti per l’aggiornamento degli elenchi degli operatori dei servizi essenziali, per gli affidamenti di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, per le attività ispettive e di vigilanza. Parimenti il decreto 105 (art.1 co.11) punisce coloro che omettono tali informazioni, allo scopo di ostacolare o condizionare l’espletamento dei procedimenti di cui al comma 2 lett. b) (procedimento di compilazione e aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici, nda) e di cui al comma 6, lett. a) (procedimenti relativi all’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi, nda) o le attività ispettive e di vigilanza della Presidenza del Consiglio dei ministri e del Ministero dello sviluppo economico, di cui al comma 6, lett. c).

All’ente si applica la sanzione pecuniaria sino a 400 quote. Va ricordato che ai sensi del decreto 231/01 ogni quota equivale a 1.549 euro.

Uno schema di fattispecie penale costruito, dunque, sulla falsariga del delitto di Ostacolo all’esercizio delle funzioni delle autorità pubbliche di vigilanza, di cui all’art.2638 del codice civile che rappresenta uno dei reati presupposto della prima ora, che determinano o possono determinare l’applicazione della responsabilità amministrativa degli Enti ai sensi del d.lgs 231/01.

Il concetto di  responsabilità nel DL 231

Cosa si intende per “responsabilità amministrativa degli Enti” o più precisamente “responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”? La speciale normativa, lo ricordiamo, è entrata in vigore con il Decreto legislativo 231 dell’8 giugno 2001 e prevede che l’Ente possa rispondere dei reati commessi nel suo interesse o vantaggio, da soggetti che lo rappresentano e che sono indicati nell’articolo 5 al comma 1 (la dottrina e giurisprudenza distinguono più semplicemente tra soggetti apicali e soggetti sottoposti alla vigilanza dei soggetti apicali). Una responsabilità sintetizzata dal co.1 dell’art.5 del decreto: “L’Ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio”

Anche sulla natura di tale responsabilità definita amministrativa, tutti sono concordi nel ritenere che si tratti in realtà di una vera e propria responsabilità penale in quanto:

  • accertata e sanzionata dallo stesso giudice che accerta e sanziona il reato presupposto;
  • accertata mediante norme di procedura penale.

Una normativa nata per prevenire soprattutto reati di natura corruttiva o contro la pubblica amministrazione (art.24 e 25 del decreto) che progressivamente ha ampliato il suo campo di applicazione sino a contare oramai un elenco di ben 166 reati.

Una normativa che in molti conoscono e associano a modelli organizzativi e codici etici.

Il Modello organizzativo rappresenta infatti la via di fuga dalla responsabilità per l’impresa che, infatti, ai sensi dell’art. 6 e 7 dello stesso decreto 231 può essere esonerata da responsabilità se prova: i) di aver adottato ed efficacemente attuato modelli organizzativi idonei a prevenire reati (nel caso di soggetti apicali), ii)di aver adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi, escludendosi cosi la violazione agli obblighi di direzione e vigilanza (nel caso di soggetti vigilati).

Ma cosa è il Modello organizzativo, di gestione e controllo? Non è altro che un complesso di misure, di natura organizzativa, tecnica e regolamentare, idonee a garantire lo svolgimento delle attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio. (art.7 co.3)

Quindi una scelta, per lo più volontaria, che consente (o dovrebbe consentire) all’impresa di prevenire la commissione di reati da parte di coloro che ne fanno parte, pur nell’interesse o vantaggio della stessa, e dimostrare (accountability), nel caso di reato commesso mediante aggiramento dei sistemi di controllo, di aver messo in atto misure idonee ed un monitoraggio (efficace attuazione) in grado di rilevare ed eliminare le situazioni di rischio.

Il cuore dell’efficace attuazione del modello passa attraverso alcuni strumenti chiave previsti dallo stesso decreto: i) la costituzione di un Organismo di Vigilanza, autonomo e indipendente in grado di vigilare sul funzionamento e l´osservanza dei modelli di curare il loro aggiornamento, garantendo continuità d’azione  l’attuazione di una politica e di un sistema di whistleblowing (l.179/17), anche mediante un canale di segnalazione con modalità informatiche che sia effettivamente in grado di assicurare la tutela dell’identità del segnalante; iii) la previsione di un flusso di informazioni verso l’Organismo di Vigilanza; iv) l’esistenza di un sistema disciplinare che rappresenti un deterrente autentico rispetto a condotte a rischio.

Quando il Modello organizzativo è obbligatorio

L’adozione del Modello organizzativo “231” non è obbligatoria, tranne che in alcuni casi in virtù di regolamentazioni secondarie. È il caso ad esempio delle società quotate nel segmento Star di Borsa Italiana o nel caso di aziende sanitarie della Regione Lombardia. Ma viene richiesta dalle Linee Guida delle principali associazioni di categoria, a cominciare da Confindustria, ABI per le Banche o FGC per le società calcistiche, per citarne solo alcune.

Senza dubbio l’assenza di un Modello organizzativo nelle sue diverse componenti, oltre che incrementare il rischio che si verifichino dei reati, può rendere complessa la difesa dell’Ente di fronte al Giudice penale, soprattutto in ragione della evoluzione giurisprudenziale in tema di sequestro preventivo ai fini di confisca per equivalente (artt. 53 – 19 d.lgs 231/01), misura che al pari delle ulteriori misure di natura cautelare (art.45 del decreto), può essere richiesta da Pubblico Ministero, allorquando ne ricorrano le condizioni, sin dall’avvio del procedimento.

Quali sono le conseguenze civilistiche

Non sono solo le sanzioni previste dall’articolo 9 del decreto (sanzioni pecuniare, sanzioni interdittive, confisca e pubblicazione della sentenza) a dover preoccupare le aziende dalle conseguenze del reato e dalla mancata adozione del modello, ma anche gli effetti sul piano civilistico. È fuori discussione, infatti, che la mancata adozione del modello potrebbe inasprire le sanzioni di natura civilistica a carico dell’impresa in quanto datore di lavoro, ai sensi dell’art.2049 c.c.

Senza considerare le conseguenze in tema di responsabilità degli amministratori (artt.2392-2394-2395 c.c.), per le conseguenze cagionate alla società dalla mancata adozione del modello. È questa forse una delle principali ragioni per cui le imprese di natura padronale con meno di 10 dipendenti non avvertono il bisogno di adottare il Modello organizzativo.

Il dato è emerso da una recente indagine di Confindustria secondo cui nessuna società del campione esaminato con meno di 10 dipendenti risulta aver adottato il modello, mentre tra quelle con un fatturato sino a 2 milioni di euro solo una su 7 ha adottato il Modello organizzativo, nonostante un significativo incremento tra le Pmi si sia registrato solo dopo l’introduzione tra i reati presupposto dei delitti colposi in tema di salute e sicurezza sui luoghi di lavoro.

Il dato più preoccupante rimane la sfiducia che, soprattutto le Pmi, nutrono nel Modello quale strumento efficace di prevenzione dei reati. Un dato che dovrebbe indurre il legislatore ad affrontare l’avvertito bisogno di una semplificazione normativa e gli addetti ai lavori a conferire ai modelli organizzativi un taglio meno burocratico e più comprensibile dai destinatari.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA
J
Angelo Jannone
Coordinatore del Comitato Scientifico di Federprivacy
Argomenti trattati

Approfondimenti

C
cybersecurity
S
sicurezza informatica

Articolo 1 di 5