La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
La Prevenzione dei Reati Informatici ex D. Lgs 231/01dalchecco
La prevenzione dei reati informatici e delle frodi sta diventando un problema da affrontare per le aziende.
Le società che hanno già messo in pratica un Modello Organizzativo ex D.Leg. 231/01 hanno iniziato a comprendere l’importanza del fenomeno e hanno iniziato un processo che passa dal semplice Audit ad una organizzazione strutturata per la valutazione dei rischi e per definire le modalità di prevenzione. L’intervento vuole fare il punto della situazione dopo oltre 5 anni dell’introduzione nel D.Lgs. 231/01 dei reati presupposto in materia informatica e valutare come le società possono dotarsi un modello veramente efficace ed utile a prevenire un fenomeno in forte espansione quali i reati informatici e le frodi.
Seminario SMAU MILANO 2016 - 26.11.2016 - Avv. Andrea Maggipinto (AMLAW)
Dati e informazioni costituiscono parte essenziale e cruciale di ogni organizzazione. È una precisa responsabilità adottare tutte le misure necessarie e sufficienti perché tali risorse siano gestite in modo corretto e sicuro, in conformità alla Legge.
Nel corso del seminario si parlerà (anche) di cyber sicurezza e del nuovo Regolamento Europeo in materia di protezione dei dati personali.
Lo scopo di questo documento `e di fornire un’introduzione sulla normativa an-
tiricilaggio in Italia e sui relativi sistemi informatici atti ad ostacolare tale feno-
meno, inoltre sar`a introdotto il concetto di crimine informatico, mediante una
breve presentazione dei soggetti interessati.
La Prevenzione dei Reati Informatici ex D. Lgs 231/01dalchecco
La prevenzione dei reati informatici e delle frodi sta diventando un problema da affrontare per le aziende.
Le società che hanno già messo in pratica un Modello Organizzativo ex D.Leg. 231/01 hanno iniziato a comprendere l’importanza del fenomeno e hanno iniziato un processo che passa dal semplice Audit ad una organizzazione strutturata per la valutazione dei rischi e per definire le modalità di prevenzione. L’intervento vuole fare il punto della situazione dopo oltre 5 anni dell’introduzione nel D.Lgs. 231/01 dei reati presupposto in materia informatica e valutare come le società possono dotarsi un modello veramente efficace ed utile a prevenire un fenomeno in forte espansione quali i reati informatici e le frodi.
Seminario SMAU MILANO 2016 - 26.11.2016 - Avv. Andrea Maggipinto (AMLAW)
Dati e informazioni costituiscono parte essenziale e cruciale di ogni organizzazione. È una precisa responsabilità adottare tutte le misure necessarie e sufficienti perché tali risorse siano gestite in modo corretto e sicuro, in conformità alla Legge.
Nel corso del seminario si parlerà (anche) di cyber sicurezza e del nuovo Regolamento Europeo in materia di protezione dei dati personali.
Lo scopo di questo documento `e di fornire un’introduzione sulla normativa an-
tiricilaggio in Italia e sui relativi sistemi informatici atti ad ostacolare tale feno-
meno, inoltre sar`a introdotto il concetto di crimine informatico, mediante una
breve presentazione dei soggetti interessati.
Computer Crimes.
(Modulo II del corso di Diritto dell\'Informatica e delle Nuove Tecnologie, Facoltà di Ingegneria, laurea specialistica in Ingegneria delle Telecomunicazioni, Università di Cagliari)
Da recenti studi risulterebbe che ogni minuto circa 5.518 dati vengano sottratti alle aziende attraverso azioni di Data Breach. I nuovi e crescenti rischi informatici, insieme alla recente disposizione legislativa in materia di tutela e protezione dei dati (GDPR), obbligano le aziende ad adottare strumenti di analisi del rischio. Forniremo casi concreti e reali relativi a metodologie e tecniche di Cyber Attack. La violazione di un sito, da un punto di vista giuridico (e organizzativo), richiede una pronta, rapida e consapevole reazione, finalizzata da parte del Titolare nel cercare, una volta individuata la causa, di eliminare gli effetti, limitare i danni e ripristinare, per quanto possibile, la situazione antecedente. Inoltre, la violazione implica l'obbligo (sanzionato) di informare il Garante di quanto è avvenuto (senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza) e, nei casi più gravi, tutte le persone a cui si riferiscono i dati oggetto della violazione. Per ridurre il rischio di una violazione e consentire di gestire al meglio l'eventuale reazione, è necessario aver implementato un Sistema di Gestione Privacy coerente e costantemente aggiornato e monitorato. Verranno indicati e forniti gli strumenti e le metodologie per ridurre dell’80% il rischio di Data Breach.
https://www.swascan.com/it/rischio-data-breach/
Incontro per PMI organizzato da CONFAPIndistria di Piacenza.
CONFAPI, Confederazione italiana della piccola e media industria privata, è nata nel 1947 e rappresenta oggi gli interessi di oltre 94.000 imprese manifatturiere, con circa 900.000 lavoratori dipendenti.
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
Computer Crimes.
(Modulo II del corso di Diritto dell\'Informatica e delle Nuove Tecnologie, Facoltà di Ingegneria, laurea specialistica in Ingegneria delle Telecomunicazioni, Università di Cagliari)
Da recenti studi risulterebbe che ogni minuto circa 5.518 dati vengano sottratti alle aziende attraverso azioni di Data Breach. I nuovi e crescenti rischi informatici, insieme alla recente disposizione legislativa in materia di tutela e protezione dei dati (GDPR), obbligano le aziende ad adottare strumenti di analisi del rischio. Forniremo casi concreti e reali relativi a metodologie e tecniche di Cyber Attack. La violazione di un sito, da un punto di vista giuridico (e organizzativo), richiede una pronta, rapida e consapevole reazione, finalizzata da parte del Titolare nel cercare, una volta individuata la causa, di eliminare gli effetti, limitare i danni e ripristinare, per quanto possibile, la situazione antecedente. Inoltre, la violazione implica l'obbligo (sanzionato) di informare il Garante di quanto è avvenuto (senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza) e, nei casi più gravi, tutte le persone a cui si riferiscono i dati oggetto della violazione. Per ridurre il rischio di una violazione e consentire di gestire al meglio l'eventuale reazione, è necessario aver implementato un Sistema di Gestione Privacy coerente e costantemente aggiornato e monitorato. Verranno indicati e forniti gli strumenti e le metodologie per ridurre dell’80% il rischio di Data Breach.
https://www.swascan.com/it/rischio-data-breach/
Incontro per PMI organizzato da CONFAPIndistria di Piacenza.
CONFAPI, Confederazione italiana della piccola e media industria privata, è nata nel 1947 e rappresenta oggi gli interessi di oltre 94.000 imprese manifatturiere, con circa 900.000 lavoratori dipendenti.
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
Similar to La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
Data Breach e Garante Privacy: Problemi e soluzioniDFLABS SRL
In caso di distruzione o perdita dei dati personali società telefoniche e Internet provider avranno l'obbligo di avvisare gli utenti
Società telefoniche e Internet provider dovranno assicurare la massima protezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello di avvisare gli utenti dei casi più gravi di violazioni ai loro data base che dovessero comportare perdita, distruzione o diffusione indebita di dati.
In attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall'Italia, il Garante per la privacy ha fissato un primo quadro di regole in base alle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti le "violazioni di dati personali" ("data breaches") che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità.
DFLabs propone un approccio integrato e modulare tra Consulenza (Policy e Procedure di Data Breach), Servizi (Incident Response) e Tecnologie di Incident management (IncMan Suite). In particolare, Incman consente di gestire interamente l'inventario e la reportistica sul data breach richiesta dal Garante Privacy.
LUCA GRINZATO | Generali Italia | Cyber Security | Meet Forum 2019BTO Educational
Meet Forum 2019 | Mediterranean European Economic Tourism Forum
Smart tourism e Cybersecurity: un futuro di ICT e knowledge management per la competitività e la sicurezza impresa turistica
Forte Village, in Sardegna | Sabato 5 ottobre
Banco di Sardegna Hall | 16.45 : 17.25
https://www.meetforum.it/programma-2019/
Cyber Insurance Risk
La risposta innovativa di Generali Italia per la gestione del rischio
Luca Grinzato
Generali Italia
https://www.meetforum.it/speaker/luca-grinzato/
Meet Forum 2019 | Mediterranean European Economic Tourism Forum, a Forte Village, uno dei resort più premiati al mondo: sabato 5 e domenica 6 ottobre un formidabile appuntamento con conference, Laboratori d'Innovazione Turistica e Tavoli al Lavoro, il tema è lo sviluppo economico delle Destinazioni Turistiche del Mediterraneo.
https://www.meetforum.it
Conoscere le regole per giocare all'attacco: la componente legal nei business...GELLIFY
Durante l’Explore Talks sul tema “Data-Driven Business” organizzato da GELLIFY e che si è svolto il 14 giugno 2018 presso Spaces Milano è intervenuto Federico Dettori - Avvocato e Partner di Gianni - Origoni - Grippo - Cappelli - Partners (Studio GOP) con una presentazione dal titolo "Conoscere le regole per giocare all'attacco: la componente legal nei business data-driven".
I dati sono la moneta di scambio dell’epoca nella quale stiamo vivendo. Come raccoglierli, difenderli, valorizzarli e, quindi, trasformarli nell'asset principale della propria startup?
In questo contesto lo studio legale diventa partner di business delle imprese che fanno dell’innovazione la propria arma vincente.
HACKERAGGIO- CASI E COME PREVENIRLO.pptxsonicatel2
Con il termine hackeraggio si intende qualsiasi manovra effettuata in modo anonimo da individui o organizzazioni che ha lo scopo di colpire sistemi informatici e dispositivi elettronici. L’attacco informatico è generalmente costituito da un malware, ovvero un programma malevolo in grado di immettersi all’interno di un sistema senza autorizzazione. L’obiettivo di queste operazioni è quello di impadronirsi di dati privati o alterare/distruggere dei sistemi informatici in uso.
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
Il mercato assicurativo italiano si trova ancora in una fase embrionale. Delle 50 compagnie di assicurazioni operanti in Europa che specificamente si dichiarano pronte a sottoscrivere rischi cibernetici, soltanto un terzo opera direttamente in Italia, la restante parte opera fondamentalmente dal Regno Unito (a copertura di rischi italiani)
L'atteggiamento un tempo più diffuso, quando in azienda si cominciava a parlare di sicurezza informatica, era quello che molte società del settore ancora oggi identificano come quello dello "struzzo". Una comprensibile ignoranza delle problematiche faceva ritenere che la probabilità di subire un attacco informatico fosse molto bassa e che, tipicamente, questi eventi accadessero a qualcun altro. Del resto, lo stesso atteggiamento, ancor oggi, si può osservare se si esaminano le procedure di sicurezza applicate in molte imprese, per esempio in materia di prevenzione degli incendio, in generale, degli incidenti sul lavoro. Eppure la sicurezza è un concetto antico quanto quello stesso d'azienda. La protezione del patrimonio intellettuale, i brevetti, le barriere all'ingresso di una banca, i controlli all'uscita da una miniera di diamanti, le guardie giurate, sono tutti elementi volti a garantire la sicurezza aziendale. Si potrebbe andare ancora avanti a elencare altri provvedimenti per la sicurezza aziendale. La relativa giovinezza degli strumenti informatici e, soprattutto, la diffusione degli stessi, cresciuta nell'ultimo decennio con l'avvento di Internet, hanno posto una "questione culturale" sul fronte della protezione logica dei dati e delle informazioni: da un lato, si è avvertita e si avverte una scarsa percezione di quello che significa ICT security, dall'altro una mancanza di una reale percezione del rischio. Oggi si parla dell'era dell'informazione, per mettere in risalto l'importanza crescente del patrimonio della conoscenza come reale valore di un'impresa. Un concetto sul quale si può facilmente essere tutti d'accordo, anche perché non è una novità. Lo spionaggio industriale non è stato inventato con l'avvento dei computer; eppure cos'è se non furto di informazioni e know-how? Sono cambiati però gli strumenti, mentre il paradigma dell'e-business, che vuole un'impresa affidare all'IT tutte le attività e tutti i processi di business, esalta il ruolo del sistema informativo, facendone il deposito di quelle informazioni e di quel know-how che, in precedenza, si poteva raggiungere solo violando archivi e casseforti. L'estensione in rete dell'azienda, il successo di Internet, intranet ed extranet hanno favoritolo sviluppo di soluzioni e strumenti informatici, sia hardware sia software, che rispondono a esigenze di protezione differenti dal passato.
https://www.vincenzocalabro.it
Similar to La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie (20)
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU
SMAU MILANO 2023 | SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazione professionale: gamification e apprendimento continuo
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots: nemici o alleati dei business game? 5 requisiti di un “buon” business game di marketing strategico, potenzialmente integrabile proprio con strumenti di IA, come antidoto alla crescente disabitudine al problem solving e al pensiero critico, al lavoro di gruppo e all'orientamento strategico
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
1. La responsabilità
dell’azienda per i reati
informatici commessi al suo
interno: project
Titolo della presentazione
Paolo Galdieri
interno: project
management, information
security e le sfide imposte
dalle nuove tecnologie
2. Il reato informatico in azienda ieri
• Centri di calcolo chiusi
• Automazione di singole attività
• Patrimonio aziendale non ancora dematerializzato
Titolo della presentazione
• Insufficienti informazioni sull'entità del fenomeno
• Ritrosia a denunciare il reato subito
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
3. Il reato informatico in azienda oggi
• Centri di calcolo aperti
• Automazione di tutte le attività
• Patrimonio aziendale dematerializzato
Titolo della presentazione
• Legislazione sulla criminalità informatica
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
4. Legislazione sulla criminalità informatica
• Legge 23 dicembre 1993 n. 547
• Legge 18 marzo 2008 n. 48
• Legge 3 agosto 1998 n. 269
Titolo della presentazione
• Legge 6 febbraio 2006 n. 38
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
5. I costi del reato informatico
• Risorse informatiche
• Patrimonio dell'azienda
• Immagine
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
6. Strategie di contrasto
• Sicurezza
• Tutela assicurativa
• Tutela giuridica
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
7. Tutela assicurativa (rischi)
• Attrezzature
• Dati, archivi, programmi
• Perdita di attività
Titolo della presentazione
• Responsabilità civile verso terzi
• Altri danni
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
8. Tutela assicurativa
• Polizza tradizionale
• Polizza "all risks" per l'informatica
• Polizza "computer crime"
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
9. Tutela giuridica
• Ricorso all'autorità giudiziaria penale per il reato subito
• Prevenzione da rischio coinvolgimento penale dell'azienda
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
10. Ricorso all'autorità giudiziaria penale per il reato subito
• Valutazione preliminare dei seguenti elementi:
• Prove idonee a dimostrare responsabilità autore, danno subito,
competenza giurisdizionale;
• Danno all'immagine conseguente alla pubblicizzazione del procedimento;
Titolo della presentazione
• Danno all'immagine conseguente alla pubblicizzazione del procedimento;
• Tempi del processo penale;
• Danno effettivamente risarcibile in sede penale
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
11. Responsabilità penale dell'azienda per reato commesso dal
dipendente
• Delitti commissivi dolosi
• Violazione dell'obbligo di impedire l'evento antigiuridico (art. 40)
• Culpa in eligendo
Titolo della presentazione
• Culpa in vigilando
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
12. Responsabilità amministrativa dell'azienda per reato
commesso dai vertici o dai dipendenti
• Legge 18 marzo 2008 n. 48 che ratifica Convenzione di Budapest sulla
criminalità informatica
• Art. 7 (che introduce art. 24 bis del D. Lgs. 231/2001) estende la
responsabilità amministrativa all’azienda per i reati commessi da vertici e
dipendenti
Titolo della presentazione
dipendenti
• Art. 240 comma 1 bis c.p. (introdotto dalla Legge n. 12 del 15 febbraio
2012) che prevede la confisca obbligatoria di tutti i beni e strumenti
informatici o telematici utilizzati per la commissione della quasi totalità
dei reati informatici
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
13. I reati informatici previsti oggi dal D. Lgs. 231/2001
Falsità in documenti informatici (art. 491-bis cod. pen.)
• Es. falsificazione di documenti aziendali oggetto di flussi informatizzati
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
14. I reati informatici previsti oggi dal D. Lgs. 231/2001
Accesso abusivo ad un sistema informatico o telematico (art. 615-ter cod.
pen.)
• Es. accesso abusivo ai sistemi informatici di proprietà di terzi, per
prendere cognizione di dati riservati altrui nell’ambito di una negoziazione
commerciale
Titolo della presentazione
commerciale
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
15. I reati informatici previsti oggi dal D. Lgs. 231/2001
Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o
telematici (art. 615-quater cod. pen.)
• Es. comunicazione senza autorizzazione a terzi di dispositivi di cui ha
legittimamente il possesso
Titolo della presentazione
• Es. dipendente della società che comunichi ad un altro soggetto la
password di accesso alle caselle e-mail di un proprio collega, allo scopo di
garantirgli la possibilità di controllare le attività svolte
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
16. I reati informatici previsti oggi dal D. Lgs. 231/2001
Diffusione di apparecchiature, dispositivi o programmi informatici diretti a
danneggiare o interrompere un sistema informatico o telematico (art.
615-quinquies cod. pen.)
• Es. dipendente che si procuri un Virus idoneo a danneggiare o ad
interrompere il funzionamento del sistema informatico aziendale in modo
Titolo della presentazione
interrompere il funzionamento del sistema informatico aziendale in modo
da distruggere documenti “sensibili” in relazione ad un procedimento
penale a carico della società
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
17. I reati informatici previsti oggi dal D. Lgs. 231/2001
Intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche (art. 617-quater cod. pen.)
• Es. dipendente che impedisca una determinata comunicazione in via
informatica al fine di evitare che un’impresa concorrente trasmetta i dati
e/o l’offerta per la partecipazione ad una gara
Titolo della presentazione
e/o l’offerta per la partecipazione ad una gara
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
18. I reati informatici previsti oggi dal D. Lgs. 231/2001
Installazione di apparecchiature atte ad intercettare, impedire o
interrompere comunicazioni informatiche o telematiche (art. 617-
quinquies cod. pen.)
• Es. dipendente che si introduca fraudolentemente presso la sede di una
potenziale controparte commerciale al fine di installare apparecchiature
Titolo della presentazione
potenziale controparte commerciale al fine di installare apparecchiature
idonee all’intercettazione di comunicazioni informatiche o telematiche
rilevanti in relazione ad una futura negoziazione
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
19. I reati informatici previsti oggi dal D. Lgs. 231/2001
Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis
cod. pen.)
• Es. l’eliminazione o l’alterazione dei file o di un programma informatico
appena acquistato che siano poste in essere al fine di far venire meno la
prova del credito da parte di un fornitore della società
Titolo della presentazione
prova del credito da parte di un fornitore della società
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
20. I reati informatici previsti oggi dal D. Lgs. 231/2001
Danneggiamento di informazioni, dati e programmi informatici utilizzati
dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art.
635-ter cod. pen.)
• Es. dipendente che compia atti diretti a distruggere documenti
informatici aventi efficacia probatoria registrati presso enti pubblici (es.
Titolo della presentazione
informatici aventi efficacia probatoria registrati presso enti pubblici (es.
polizia giudiziaria) relativi ad un procedimento penale a carico della
società
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
21. I reati informatici previsti oggi dal D. Lgs. 231/2001
Danneggiamento di sistemi informatici o telematici (art. 635-quater cod.
pen.)
• Es. alterazione dei dati, delle informazioni o dei programmi che renda
inservibile o ostacoli gravemente il funzionamento del sistema
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
22. I reati informatici previsti oggi dal D. Lgs. 231/2001
Danneggiamento di sistemi informatici o telematici di pubblica utilità (art.
635-quinquies cod. pen.)
• il danneggiamento deve avere ad oggetto un intero sistema e il sistema
stesso deve essere utilizzato per il perseguimento di pubblica utilità,
indipendentemente dalla proprietà privata o pubblica dello stesso
Titolo della presentazione
indipendentemente dalla proprietà privata o pubblica dello stesso
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
23. I reati informatici previsti oggi dal D. Lgs. 231/2001
Frode informatica del soggetto che presta servizi di certificazione di firma
elettronica (art.640-quinquies c.p.)
• reato proprio che può essere commesso solo da parte dei certificatori
qualificati, o meglio, i soggetti che prestano servizi di certificazione di
Firma Elettronica qualificata
Titolo della presentazione
Firma Elettronica qualificata
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
24. I reati informatici già previsti dal D. Lgs. 231/2001
• Frode informatica commessa a danno dello stato o di altro ente pubblico
(art. 24)
• Assistenza a gruppi terroristici apprestata fornendo strumenti di
comunicazione (art. 25 quater)
Titolo della presentazione
• Distribuzione, cessione e detenzione di materiale pedopornografico (art.
25 quinques comma 1 lett. c))
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
25. Quando l’azienda può essere coinvolta
• Reato commesso nel suo interesse o comunque ne abbia tratto vantaggio
• Anche nelle ipotesi in cui l'autore del reato non e' stato identificato o non
è imputabile
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
26. Conseguenze per l’azienda
• Sanzioni pecuniarie
• Sanzioni interdittive (l'interdizione dall'esercizio dell'attività; la
sospensione o la revoca delle autorizzazioni, licenze o concessioni
funzionali alla commissione dell'illecito; il divieto di contrattare con la
pubblica amministrazione, salvo che per ottenere le prestazioni di un
Titolo della presentazione
pubblica amministrazione, salvo che per ottenere le prestazioni di un
pubblico servizio; l'esclusione da agevolazioni, finanziamenti, contributi o
sussidi e l'eventuale revoca di quelli già concessi; il divieto di pubblicizzare
beni o servizi)
• Confisca
• Pubblicazione della sentenza
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
27. Come evitare un coinvolgimento
Esonero responsabilità ex art. 6 se si dimostra che:
• l’organo dirigente dell’Ente ha adottato ed efficacemente attuato, prima
della commissione del fatto, modelli di organizzazione e di gestione idonei
a prevenire reati della specie di quello verificatosi;
Titolo della presentazione
• il compito di vigilare sul funzionamento e l’osservanza dei modelli nonché
di curare il loro aggiornamento è stato affidato ad un organismo dell’Ente
dotato di autonomi poteri di iniziativa e controllo;
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
28. Come evitare un coinvolgimento
• le persone che hanno commesso il reato hanno agito eludendo
fraudolentemente i suddetti modelli di organizzazione e gestione;
• non vi sia stata omessa o insufficiente vigilanza da parte dell’organismo
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
29. Le esigenze che deve soddisfare il modello
• Individuare le attività nel cui ambito esiste la possibilità che vengano
commessi reati previsti dal decreto
• Prevedere specifici protocolli diretti a programmare la formazione e
l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire
Titolo della presentazione
• Individuare modalità di gestione delle risorse finanziarie idonee ad
impedire la commissione di tali reati
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
30. Le esigenze che deve soddisfare il modello
• Prevedere obblighi di informazione nei confronti dell’organismo deputato
a vigilare sul funzionamento e l’osservanza del modello
• Introdurre un sistema disciplinare interno idoneo a sanzionare il mancato
rispetto delle misure indicate nel modello
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
31. Modello e codice etico
• Il codice etico rappresenta uno strumento adottato in via autonoma allo
scopo di esprimere dei principi di deontologia aziendale e sui quali si
richiama l’osservanza da parte di tutti i dipendenti
• Il modello risponde invece a specifiche prescrizioni contenute nel decreto
finalizzate a prevenire la commissione di particolari tipologie di reati
Titolo della presentazione
finalizzate a prevenire la commissione di particolari tipologie di reati
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
32. • Autonomia
• Indipendenza
• Professionalità
I requisiti dei componenti dell’organismo di vigilanza
Titolo della presentazione
• Continuità d’azione
• Onorabilità
• Assenza di conflitti di interesse
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
33. • Controllo sull’osservanza delle prescrizioni del modello da parte dei
destinatari, in relazione alle diverse tipologie di reato contemplate dal
decreto
• Controllo sulla reale efficacia ed effettiva capacità del modello, in
relazione alla struttura aziendale, di prevenire la commissione dei reati di
Compiti dell’organismo di vigilanza
Titolo della presentazione
relazione alla struttura aziendale, di prevenire la commissione dei reati di
cui al decreto
• Verifica sull’opportunità di aggiornamento del modello, in relazione alle
mutate condizioni aziendali ed alle novità legislative e regolamentari
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
34. • Reporting nei confronti degli organi societari
• Comunicazione continuativa direttamente con l’amministratore delegato
• Comunicazione su base periodica nei confronti del comitato di controllo
interno, del consiglio d’amministrazione e del collegio sindacale
Funzioni dell’organismo di vigilanza
Titolo della presentazione
interno, del consiglio d’amministrazione e del collegio sindacale
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
35. • Forma
• Sostanza
Come redigere il modello per i reati informatici
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
36. • Dimostrare di aver fatto tutto il possibile per evitare che venisse
commesso un reato informatico
Obiettivo
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
37. • Coerenza con la parte generale del modello e delle altre parti speciali
• Analisi della documentazione aziendale con specifico riferimento ai
documenti relativi all’uso delle tecnologie dell’informazione
• Analisi dell’organigramma e valutazione delle competenze formali e di
Valutazioni preliminari
Titolo della presentazione
• Analisi dell’organigramma e valutazione delle competenze formali e di
fatto
• Valutazione delle deleghe
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
38. • Formazione (sensibilizzazione del personale, codice di comportamento
informatico – i cui principi fondamentali potrebbero essere inseriti nel
contratto di lavoro)
• Organizzazione (affidamento incarichi a soggetti qualificati, limitazione
degli accessi ai sistemi, delega di funzioni)
Attività da svolgere e da inserire nel modello
Titolo della presentazione
degli accessi ai sistemi, delega di funzioni)
• Accorgimenti di carattere tecnico (es. adozione di meccanismi di
controllo per verificare la presenza di software contraffatti)
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
39. • Descrizione dei delitti informatici e trattamento illecito di dati (art. 24 bis
del decreto)
• Aree a rischio
• Destinatari e principi generali di comportamento
Cosa deve contenere il modello
Titolo della presentazione
• Destinatari e principi generali di comportamento
• Principi procedurali specifici
• Compiti organismo vigilanza
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
40. • Credenziali
• Dati Informatici
• Documento Informatico
Definizioni
Titolo della presentazione
• Firma Elettronica
• Piano di Sicurezza
• Postazione di Lavoro
• Sicurezza Informatica
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
41. • Tutte le attività aziendali svolte tramite l’utilizzo dei Sistemi Informativi
aziendali, del servizio di posta elettronica e dell'accesso ad Internet
• Gestione dei Sistemi Informativi aziendali al fine di assicurarne il
funzionamento e la manutenzione
Aree a rischio
Titolo della presentazione
• L’evoluzione della piattaforma tecnologica
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
42. • Gestione dei flussi informativi elettronici con la pubblica amministrazione
• Utilizzo di software e banche dati
• Gestione dei contenuti del sito Internet della società
Aree a rischio
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
43. • Codice Etico
• Organigramma aziendale e schemi organizzativi
Destinatari regole di comportamento con richiamo ad altri
documenti
Titolo della presentazione
• Linea Guida “Information Security Policy”
• Raccolte di policy e procedure per la sicurezza delle Informazioni
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
44. • Manuale delle istruzioni operative del call center
• Gestione dei siti internet
Destinatari regole di comportamento con richiamo ad altri
documenti
Titolo della presentazione
• Istruzione operativa "Controllo Accessi – modalità di accesso alle sedi
aziendali”
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
45. • Connettere ai sistemi informatici della società, personal computer,
periferiche e altre apparecchiature o installare software senza preventiva
autorizzazione del soggetto aziendale responsabile individuato
• Modificare la configurazione software e/o hardware di postazioni di lavoro
fisse o mobili se non previsto da una regola aziendale ovvero, in diversa
Principi procedurali specifici (divieti)
Titolo della presentazione
fisse o mobili se non previsto da una regola aziendale ovvero, in diversa
ipotesi, se non previa espressa e debita autorizzazione
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
46. • Divulgare, cedere o condividere con personale interno o esterno alla
società le proprie credenziali di accesso ai sistemi e alla rete aziendale, di
clienti o terze parti
• Accedere abusivamente ad un sistema informatico altrui – ovvero nella
disponibilità di altri dipendenti o terzi – nonché accedervi al fine di
Principi procedurali specifici (divieti)
Titolo della presentazione
disponibilità di altri dipendenti o terzi – nonché accedervi al fine di
manomettere o alterare abusivamente qualsiasi dato ivi contenuto
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
47. Informare i soggetti, che a diverso titolo operano nell’azienda – autorizzati
all'utilizzo dei Sistemi Informativi -, dell'importanza di:
• Mantenere le proprie Credenziali confidenziali e di non divulgare le stesse
Principi procedurali specifici (impegni della società)
Titolo della presentazione
• Mantenere le proprie Credenziali confidenziali e di non divulgare le stesse
a soggetti terzi;
• Utilizzare correttamente i software e banche dati in dotazione;
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
48. • Non inserire dati, immagini o altro materiale coperto dal diritto d'autore
senza avere ottenuto le necessarie autorizzazioni dai propri superiori
gerarchici secondo le indicazioni contenute nelle policy aziendali;
Principi procedurali specifici (impegni della società)
Titolo della presentazione
• Proteggere i collegamenti wireless, impostando una chiave d'accesso,
onde impedire che soggetti terzi, esterni alla società, possano
illecitamente collegarsi alla rete Internet tramite i routers della stessa e
compiere illeciti ascrivibili ai dipendenti;
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
49. • Limitare l'accesso alla rete informatica aziendale dall'esterno;
• Far sottoscrivere ai soggetti autorizzati all'utilizzo dei sistemi informativi,
uno specifico documento con il quale si impegnino al corretto utilizzo ed
Principi procedurali specifici (impegni della società)
Titolo della presentazione
uno specifico documento con il quale si impegnino al corretto utilizzo ed
alla tutela delle risorse informatiche aziendali
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
50. Istituzione di una struttura con il compito di:
• Monitorare centralmente in tempo reale, in collaborazione con le
Direzioni/Funzioni interessate, lo stato della sicurezza operativa delle varie
piattaforme ICT (sistemi e reti) di processo e gestionali della società,
attraverso strumenti diagnostici e coordinare le relative azioni di gestione;
Principi procedurali specifici (controlli)
Titolo della presentazione
attraverso strumenti diagnostici e coordinare le relative azioni di gestione;
• Monitorare centralmente in tempo reale i sistemi anti-intrusione e di
controllo degli accessi ai siti aziendali e gestire le autorizzazioni;
• Gestire progressivamente l’intero processo di identificazione ed
autorizzazione all’accesso alle risorse ICT aziendali
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
51. • Svolgere verifiche periodiche sul rispetto del modello e valutare
periodicamente la loro efficacia a prevenire la commissione dei reati di cui
all'art. 24 bis del Decreto, avvalendosi eventualmente della collaborazione
di consulenti tecnici competenti in materia
• Proporre e collaborare alla predisposizione delle istruzioni standardizzate
Compiti Organismo di Vigilanza
Titolo della presentazione
• Proporre e collaborare alla predisposizione delle istruzioni standardizzate
relative ai comportamenti da seguire nell’ambito delle Aree a Rischio
individuate nella presente parte speciale
• Esaminare eventuali segnalazioni di presunte violazioni del Modello ed
effettuare gli accertamenti ritenuti necessari od opportuni in relazione alle
segnalazioni ricevute
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
52. • Digital Evidence Analysis (DEA). L’analisi delle informazioni digitali in
maniera tale che possano essere usate come prova in giudizio
• Crime Scene Investigation (CSI). L’indagine sugli strumenti di calcolo
coinvolti in un reato informatico
Computer forensics
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
53. • In azienda spesso l’interesse è proprio per l’attività investigativa, che per
ragioni di opportunità o riservatezza non si vuole affidare ad enti
istituzionali
Computer forensics
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
54. Le tipiche domande del Giudice ai periti:
• La prova è stata raccolta senza alterarla (integrità)?
• Ho tutto ciò che mi serve per interpretare la prova in maniera corretta
(completezza, veridicità)?
Computer forensics
Titolo della presentazione
(completezza, veridicità)?
• Che valore posso dare alle catene causali di responsabilità che emergono
dalla prova (autenticità, veridicità)?
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
55. • Più oneri e responsabilità per le aziende
• Scelta obbligata perché già prevista per altri reati e per le indicazioni
Comunitarie
Conclusioni
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
56. • Sempre meno budget
• Perché dovrebbe capitare proprio a me
• Se capita a me spendo dopo
Conclusioni
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
57. • Grande opportunità: razionalizzo l’attività dell’azienda (mappo i rischi,
individuo i protocolli, formo personale all’altezza)
• Valore aggiunto
Conclusioni
Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie
58. Contatti:
Titolo della presentazione
Contatti:
• www.andig.it
• www.galdieri-crea.it
La responsabilità dell’azienda per i reati informatici commessi al suo interno:
project management, information security e le sfide imposte dalle nuove tecnologie