Smau 2010 Milano :: Serraino Maggipinto

Milano, 22 ottobre 2010 - Fieramilanocity
1
Avv. Andrea Maggipinto Ing. Igor Serraino
www.maggipinto.org www.serraino.it
© 2010 CSIG – vietata ogni riproduzione e distribuzione senza l’autorizzazione degli autori
QUALITÀ E SICUREZZA NELLA GESTIONE DEI DATI
Un'indagine informatico-giuridica su processi e modelli
organizzativi aziendali
RELATORI:
Avv. Andrea Maggipinto
Ing. Igor Serraino
2
Agenda
Organizzazione aziendale e ICT
Qualità e sicurezza dei processi e dei dati (ISO)
Ricadute giuridiche dei modelli organizzativi
Tecnologie per un’organizzazione efficiente
3
ICT: un problema di gestione aziendale
Per GESTIONE AZIENDALE si intende…
insieme delle operazioni economiche, anche composte in
processi, svolte dalle persone che operano in azienda
Per PROCESSO si intende…
insieme di attività correlate o interagenti che trasformano
elementi in entrata in elementi in uscita (primari, direzionali,
di supporto)
Per ATTIVITÀ si intende…
insieme di operazioni che sostanziano un segmento del
processo, originando un output significativo, anche
economicamente quotabile
4
Variabili organizzative da considerare
Le concrete modalità attraverso le quali si realizzano le
connessioni tra gli elementi del sistema organizzativo:
struttura organizzativa: articolazione degli organi e delle
unità organizzative aziendali con evidenziazione dei rapporti
funzionali e delle relazioni gerarchiche
meccanismi operativi: governano la dinamica e il
coordinamento dell’organizzazione nonché l’assegnazione
ai vari organi aziendali degli obiettivi e delle risorse
cultura aziendale: l’insieme di valori e di significati che si
esprimono attraverso norme e modelli di comportamento
adottati dai componenti dell’organizzazione

5
L’informatica nella gestione aziendale dei processi
6
La ricerca continua della Qualità
• ISO: International Organization for Standardization
• La Qualità: capacità di un insieme di caratteristiche inerenti un
prodotto, sistema o processo di ottemperare a requisiti di clienti o
di altre parti interessate
7
L’evoluzione del concetto di Qualità
• Anni ‘90: le procedure focalizzano l’attenzione sul
prodotto finito e sui processi manifatturieri
• Qualità percepita come necessaria, ma raggiungere
l’obiettivo significava seguire una strada decisamente
tortuosa
• Eccessiva formalità delle norme da applicare
• Vocabolario oscuro
• Gestione del cartaceo, produzione della
documentazione onerosa
• Troppa burocrazia!
8
L’avvento dell’informatizzazione
• Revisione ISO 9001:2008: Sistemi di gestione per la
qualità - Requisiti
• Pervasività delle nuove tecnologie
• Progressiva sostituzione del cartaceo con il digitale
• Riduzione delle risorse temporali che l’azienda deve
dedicare al perseguimento degli obiettivi
• Integrazione del sistema di qualità con gli strumenti
strumenti hardware e software già presenti in azienda
• Progressivo cambio generazionale degli addetti al
backoffice

9
ISO 9001:2000 e l’informatica (1)
SISTEMA DI GESTIONE
PER LA QUALITA'
GESTIONE RISORSE
UMANE
RESPONSABILITA'
AMMINISTRAZIONE
Manuale della qualità
Aggiornamenti
Integrazioni
Operazioni di tracing
Formazione
Affiancamento
Consapevolezza
Scelte dirigenziali
Pianificazione
Scelta dei ruoli
Riesame della direzione
Gestione documentale
elettronica
Reti Intranet e repositories
Gestione delle skills
Sharepoint server database
Strumenti di messaggistica
(emails, voice/chat clients)
Data Warehousing
Internet
10
ISO 9001:2000 e l’informatica (2)
PRODUZIONE
MONITORING
ANALISI
MIGLIORAMENTO
Realizzazione del prodotto
Back-office e front-office
Progettazione e sviluppo
Erogazione di servizi
Customer satisfaction
Audit interni
Gestione non conformità
Miglioramento continuo
ERP
CRM ah hoc
Strumenti di workflow
Help desk online
Questionari
a mezzo email / sito web
Sistemi internet
Raggiungibilità istantanea
e globale
11
Riflessioni pre-operative
• Quali sono le riflessioni che hanno portato alla decisione di
rinnovare e adottare un modello di processo adeguato ai canoni
imposti dal sistema di qualità ISO 9001?
• Esiste una adeguata motivazione al cambiamento,
nell'organigramma aziendale?
• L'impatto che il cambiamento avrà sull'attività aziendale, sia dal
punto di vista del back office che del front office, è stato ben
definito?
• La gestione di eventuali (e probabili) problematiche dovute al
cambiamento è stata pianificata, perlomeno a livello astratto?
• La normativa e gli standard da seguire durante le attività
necessarie per il cambiamento sono ben chiare e definite?
12
Il ciclo continuo di innovazione
E' importante che le attività di rinnovamento siano percepite come in
continuo divenire
Non esiste un punto di inizio e un punto di fine: sono gli obiettivi
aziendali e i nuovi stimoli proposti dal mercato a stabilire quando un
“ciclo” di innovazione va a terminare e quando ne inizia un altro
La CERTIFICAZIONE non può essere un punto di arrivo, deve
costituire un traguardo (una sorta di gratificazione per l'ottimo lavoro
svolto)
Raggiunta la certificazione ISO 9001, la procedura di rinnovamento
non deve arrestarsi bruscamente.
E' l'evoluzione delle tecnologie dell'informazione a dettare le regole.

13
Il concetto di servizio e l’informatica
Fornire un servizio: soddisfare i bisogni e le aspettative
dell’utilizzatore
•Necessario disaccoppiare il concetto di qualità di un servizio dal
costo che il cliente/utilizzatore deve pagare per ottenerlo
•Servizi complessi, prodotti tecnologicamente avanzati, ritrovano nel
concetto di qualità un fattore di successo
•Il processo produttivo o di erogazione del servizio riveste un ruolo
fondamentale nel garantire adeguati livelli di qualità
•L’informatica rappresenta uno strumento , non una garanzia
assoluta
14
Ruolo del sistema informativo nell'erogazione del servizio
L'utente richiede
un servizio o
un prodotto
Servizio
o
prodotto
Sistema
informativo
Strutture organizzative
Sistema informatico
Supporta,
fornisce
strumenti
Utilizza
15
Il rinnovamento del Sistema informativo
Passa attraverso:
1.accurata analisi del sistema attuale, sia dal punto di vista
dell’infrastruttura informatica, sia da quello delle risorse umane e dei
processi in essere
2.Eventuale rinnovamento/adeguamento dell’infrastruttura
informatica
3.Addestramento delle risorse umane, inclusa una adeguata
motivazione
16
Criticità
L'acquisto di nuove strutture hardware e software, da parte dell'azienda, non
è sufficiente a garantire il processo di innovazione
Fondamentale:
•motivare l'acquisto di nuovi apparati HW e SW alla luce del cambiamento
organizzativo in essere
•garantire l'usabilità delle nuove infrastrutture
•identificare le risorse umane preposte all'utilizzo: verificare che la
preparazione informatica sia adeguata
•garantire adeguata preparazione sulle principali norme del sistema di
qualità, in riferimento alla nuova infrastruttura introdotta
•una qualsiasi iniziativa di miglioramento deve puntare a massimizzare il
livello di coerenza interna (environment) e esterna di una organizzazione.

17
Gli strumenti a disposizione
STRUMENTI DI PRODUTTIVITA’
INDIVIDUALE
Office, CAD, modelling,
CRM ad hoc, software client
web, emails
SOFTWARE AD USO CONDIVISO
ERP, CRM CLIENT/SERVER,
DATA WAREHOUSE,
BUSINESS INTELLIGENCE
MONITORIZZAZIONE QUALITA’
Security administrator
and Supervisor
La scelta e l’adattamento delle tecnologie al livello culturale ed al ruolo degli utenti sono
aspetti essenziali per poter conseguire una buona efficacia nell’utilizzo degli strumenti
messi a disposizione !
18
Caso d’uso: azienda di forniture, settore termo-idraulica
• Crescita della clientela grazie alla chiusura di piccole aziende limitrofe
• Azienda sul mercato da 25 anni: archivio dati cartaceo e digitale
• Analisi del sistema informativo, in ottica D.P.S. (D.lgs. 196/2003) e
miglioramento dei processi di servizio
• Criticità rilevate:
• Separazione applicazioni / database
• Ridondanza delle informazioni (es. anagrafica clienti)
• 3 settori operativi differenti (amministrazione, vendita, contabilità)
utilizzano 3 sistemi informativi differenti
• Incoerenza dei dati
• Operazioni di backup difficoltose
• Requisiti minimi di sicurezza sui dati non rispettati
• Problematiche nell’erogazione dei servizi, front e back office
19
Caso d’uso: il ciclo di innovazione del S.I.
• Pianificazione delle risorse allocabili
• Analisi dell’infrastruttura informatica già esistente, rinnovamenti
necessari? Imprescindibili?
• Pianificazione delle risorse da allocare.
• Analisi sullo stato del processo
• Attuazione degli interventi migliorativi previsti, introduzione di nuove
tecnologie: e-procurement, fatturazione elettronica, drastica riduzione del
cartaceo
• Frequenti checkpoints (valutazione)
• Nomina dell’Amministratore del S.I.
• Preparazione next step di iterazione
20
• PROBLEMATICA: dati clientela ridondanti e incoerenti.
Caso d’uso: dettagli
DB uff. vendite
3 postazioni
DB uff. contabilità
1 postazione
1. DB ufficio vendite replica dati contenuti nel DB ufficio contabilità (ridondanza, incoerenza)
2. Architettura del sistema informatico inadeguata: DB non centralizzato, logica client/server primitiva,
livello business non separato dal livello database
3. Applicativi eterogenei, formati non interscambiabili (presenza di versioni obsolete di suite office)

21
• TROPPI CLIENT !
• Per ogni postazione informatica (addetto interno) risulta presente un client di posta
ad uso singolo (Outlook express, client ormai obsoleto)
• Non vi è alcuna politica centralizzata di gestione archivio e-mails, la conservazione
e la catalogazione sono compiti delegati all’utente (account pop3…)
• Il client utilizzato non è dotato di strumenti nativi per una gestione metodica di
problematiche come lo spam (inquinamento archivio)
• Backup e ripristino difficoltoso, in caso di sostituzione pc
• Mancano strumenti per garantire integrità e autenticità, quali firma digitale e PEC
• In ottica ISO 9001: 4.2.3: “I documenti richiesti dal sistema di gestione per la
qualità devono essere tenuti sotto controllo…“ e 4.2.4 “…Le registrazioni
devono rimanere leggibili, facilmente identificabili e rintracciabili”
• Considerazioni su due possibili soluzioni:
• Sistemi di mail exchanging lato server
• Web Mail
Caso d’uso: il problema delle e-mails
22
• RISORSE DA ALLOCARE
• Acquisto di un server centrale, Windows 2008 Server con sistema di mail
exchanging
• ERP di ultima generazione: ritenuto investimento troppo oneroso, priorità a
software collaudati negli anni e già installati
• Utilizzo software contabilità ad hoc già presente: modifica applicativo in ottica
client/server e aggiunta modulo vendite
• Eliminazione documenti non prodotti dal software suddetto. Operazioni di
adattamento e importazione dei dati già presenti
• Realizzazione di un D.P.S., finora assente
• MIGLIORAMENTO CONTINUO (Business Process Reengineering)
• Addestramento personale
• Controlli periodici
• Simulazioni
• Stress test sul sistema informativo
23
• UN NUOVO SISTEMA INFORMATIVO
Postazioni ufficio
vendite
Postazioni
contabilità
Altre
postazioni
Windows
Server
2008
Security administrator and Supervisor
24
• IL RUOLO DELL’AMMINISTRATORE DI SISTEMA
• Richiesto dal d.lgs. 196/03 , aggiornamento 2009
• Figura professionale individuata all’interno dell’organigramma aziendale
• Fondamentale per garantire adeguato supporto a figure professionali in
outsourcing, durante le 4 fasi del ciclo di rinnovamento
• Caratteristiche professionali ricercate (e trovate):
• Competenze informatiche di base
• Conoscenza della topologia di rete locale
• Disponibilità e motivazione all’aggiornamento professionale, in ambito
informatico (corsi di addestramento)
• Reperibilità garantita
• Formazione in ambito privacy e sicurezza dei dati
• Riflessioni sull’opportunità di intraprendere un percorso verso la ISO/IEC
27001

25
• Standard ISO/IEC 27001 e ruolo dell’ISM
(Information Security Manager) : norma a valore internazionale che stabilisce i requisiti di
un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione (Information
Security Management System - ISMS)
• Suite di standard di grande interesse per l’azienda:
• ISO 2700x
2
5
Information Security Management System (ISMS)
26
Security
2
6
Standard ISO 27001:2005
• The standard is designed to ensure the selection of adequate and proportionate
security controls that protect information assets and give confidence to interested
parties including an organization’s customers and suppliers.
• Importante corollario alle procedure messe in atto per garantire il rispetto della
normativa in termini di tutela dei dati personali
• Il controllo A.15.1.4 della 27001 richiede infatti che "La protezione dei dati e della
privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se
applicabile, nelle clausole contrattuali"
Tutela personali,
sensibili, giudiziari
Contesto privacy
Contesto 27001
Componenti di
business
27
Risk-based approach
• Obiettivo del sistema 27001 è quello di realizzare una serie
di routines mirate al security control che permettano di
garantire un livello di protezione delle informazioni
ADEGUATO al contesto aziendale, sia dal punto di vista
interno che da quello del cliente
• Un approccio RISK-BASED assicura che il sistema
implementato risulti:
• affidabile
• contestualizzato alla realtà operativa
• Identificate le aree di rischio, per ciascuna delle quali va
valutato l’impatto (che dipende dal valore e dal settore
dell’azienda sotto analisi) e la probabilità di accadimento.
28
ISMS use case: establishment steps
STEP 1
Definire il raggio di
azione e i confini
dell’ISMS
STEP 2
Definire il raggio di
azione e i confini
dell’ISMS
• Attività propedeutiche fondamentali,
analisi basate sulle caratteristiche
specifiche della realtà aziendale in
oggetto.
• Valutazione degli aspetti giuridici.
• Necessaria supervisione e
sottoscrizione documenti di
progettazione (entry & exit criteria)

29
STEP 3
Redazione linee guida sulla
metodologia di valutazione
del rischio
STEP 4
Identificazione e
catalogazione dei rischi
• Definita nel dettaglio la strategia utilizzata
per valutare i rischi
• Lista delle vulnerabilità e dell’impatto degli
eventi indesiderati nel contesto aziendale
• Redazione di un documento di valutazione
dei rischi
• Prime valutazioni economiche: la spesa
(necessaria) per gli interventi correttivi
deve essere equilibrata all’eventuale
danno subito
STEP 5
Attestazione e valutazione
dei rischi riscontrati
30
3
0
MinacceMinacce
VulnerabilitVulnerabilitàà
ValoreValore AssetAsset
Baseline
RiskAcceptable
Risk
Safeguards
31
STEP 6
Considerare le opzioni di
gestione del rischio
STEP 7
Stabilire gli obiettivi e i
requisiti minimi per
controllare il rischio
• I rischi sono ora ben definiti e raccolti nella
documentazione prodotta negli steps
precedenti.
• Le opzioni di gestione del rischio possono
includere la frammentazione del singolo
rischio - ritenuto troppo grave – in tante
unità diverse gestite sepratamente
• Ove sia stata individuata una politica di
gestione ritenuta corretta, essa viene
registrata e messa in stato «ready to go»
ed attuata.
32
STEP 8
Approvazione della strategia
di risoluzione e prevenzione
dei rischi residui
STEP 9
Autorizzazione a procedere
all’implementazione dell’ISMS
• I rischi residui sono quelli non ancora gestiti,
molto costosi da trattare ma con basso impatto
a livello business (necessaria autorizzazione a
procedere dell’amministrazione)
• Allo stesso modo, nello step 9 il team
ISO27001 ottiene l’approvazione definitiva per
l’implementazione e il deploy dell’ISMS
• Stesura di un documento «Dichiarazione di
applicabilità» (Statement of applicability), ove
vengano tracciati i controlli e le soluzioni
intraprese, gli obiettivi raggiunti e i motivi che
hanno portato all’esclusione di talune tipologie
di rischio
STEP 10
Dichiarazione
di applicabilità

33
3
3
Requisiti di sicurezza (I)
Il dato digitale deve rispettare i 3 canonici parametri di
sicurezza
Riservatezza: devono essere conoscibili esclusivamente da alcuni
soggetti, individuati nel fornitore stesso e nell’intestatario del
documento (o da chi possiede le credenziali di accesso all’archivio)
Implementazione: applicazione di adeguate policy di
autenticazione sul dato digitale (o sui dispositivi preposti
all’archiviazione)
34
3
4
Requisiti di sicurezza (II)
Integrita’: il dato digitale, soprattutto se documento ufficiale
(docuementi di fatturazione, atti, documenti con valore
probatorio), deve essere sempre presente nella sua
totalita’, corretto e valido
Implementazione: firma digitale, al fine di garantire integrita’
(e provenienza).
PEC
35
3
5
Disponibilita’: il documento digitale deve essere presente ed
utilizzabile nei tempi, nei luoghi e nelle modalita adeguate
alle necessita’ operative aziendali
Implementazione: conservazione ottica sostitutiva e presenza
di un Responsabile nominato, in grado di garantire il corretto
adempimento normativo e di accedere all’archivio nelle
modalita’ previste
Requisiti di sicurezza (III)
36
ISO/IEC 27001 ISMS key benefits
• Realizzazione di un’architettura hardware, software,
gestionale (comprehensive framework) su cui sviluppare e
implementare politiche di gestione della sicurezza
• Risk-based approach: il modello di ISMS generato durante i
vari steps è fortemente contestualizzato alla realtà
aziendale.
• Gestione delle risorse umane: il modello proposto permette
di assicurarsi che figure professionali dalle competenze
adeguate siano allocate alla gestione delle aree critiche
• Completa protezione delle informazioni, dal punto di vista
dei tre canoni fondamentali: riservatezza, integrità,
disponibilità.
• L’ISMS è qualitativamente allineato a sistemi gestionali
standard come le ISO9001.

37
ISO/IEC 27001 CERTIFICATION key benefits
• Fornisce un attestato di terze parti, garanzia di applicabilità
della normativa e delle regole previste
• Aumento della competitività aziendale: la certificazione
garantisce alla clientela che la sicurezza delle loro
informazioni personali non è in discussione
• Verifica e analisi indipendente dei rischi di sicurezza
presenti (anche nascosti) nel contesto aziendale
• Attestazione di impegno assoluto e di impiego di risorse per
risolvere e gestire problematiche inerenti la sicurezza
• Il processo di autovaluzione e di miglioramento continuo
(attività in essere anche DOPO la certificazione)
permettono all’azienda di perseguire un percorso di
maturazione negli anni
38
3
8
Scenario pre-27001
39
3
9
Scenario post-27001
Security policies
Security administrator and Supervisor
40
Ricadute giuridiche dei modelli organizzativi

41
Non solo norme tecniche
Adottare modelli organizzativi di qualità significa
anche svolgere attività d’impresa nel pieno rispetto
di norme giuridiche imperative
Aziende in grado di soddisfare quanto stabilito in
termini di responsabilità da:
D.Lgs. 231/01
Codice Privacy
42
Perché una responsabilità penale per le Società?
Esigenze di natura sostanziale: ci si è resi conto
dell’inefficacia di interventi repressivi nei soli
confronti di singoli individui nell’ipotesi di reati
commessi nell’ambito di specifiche politiche
aziendali o che comunque trovassero la propria
matrice in una “colpa organizzativa” della società
Per una maggiore “eticità” dell’azione imprenditoriale
43
In Italia
Legge 29 settembre 2000, n. 300
• ha radicalmente innovato il principio dell’ordinamento giuridico
italiano societas delinquere non potest
• ha introdotto la responsabilità sostanzialmente penale dei soggetti
diversi dalle persone fisiche (Società)
D.Lgs. 08.06.2001 n. 231
• è stato emanato in attuazione della delega prevista dall’art. 11
della Legge 300/00
• dispone che, in aggiunta alla responsabilità personale degli autori
materiali di taluni reati, la Società è responsabile se i reati sono
commessi da suoi dirigenti o dipendenti nell’interesse o a
vantaggio della Società stessa
44
Elementi della fattispecie
Responsabilità amministrativa delle persone giuridiche,
delle società e della associazioni anche prive di
personalità giuridica
criterio di imputazione oggettivo
- soggetti (apicali o sottoposti)
- interesse o vantaggio dell’azienda
criterio di imputazione soggettivo
- colpa da organizzazione

45
Colpa da organizzazione
La “responsabilità amministrativa” della Società sussiste
in quanto l’ente ha colpa per aver determinato o
comunque consentito la commissione di un certo
reato
Lacuna organizzativa
46
Catalogo dei “reati-presupposto”
Legge 23 novembre 2001, n. 409
D.Lgs. 11 aprile 2002, n. 61
Legge 14 gennaio 2003, n. 7
Legge 11 agosto 2003, n. 228
Legge 18 aprile 2005, n. 62
Legge 28 dicembre 2005, n. 262
Legge 9 gennaio 2006, n. 7
Legge 6 febbraio 2006, n. 38
Legge 3 agosto 2007, n. 123
D.Lgs. 21 novembre 2007, n. 231
Legge 18 marzo 2008, n. 48
D.Lgs. 9 aprile 2008 n.81
Legge 15 luglio 2009, n. 94
Legge 3 agosto 2009, n. 116 … what next?
47
Sanzioni
Sanzioni pecuniarie (€ 25.800 / € 1.549.000)
Sanzioni interdittive (interdiz. dall'esercizio dell'attività
sospensione o revoca di autorizzazioni, licenze o
concessioni; divieto di pubblicizzare beni o servizi;
divieto di contrattare con la pubblica amministrazione;
esclusione da agevolazioni, finanziamenti, contributi o
sussidi ed eventuale revoca di quelli già concessi)
Confisca
Pubblicazione della sentenza
48
Esonero dalle sanzioni
La Società non è passibile di sanzione se prova che:
sono stati adottati ed efficacemente attuati modelli di
organizzazione, gestione e controllo idonei a prevenire
reati della specie di quello verificatosi
le persone hanno commesso il reato eludendo
fraudolentemente tali modelli
In pratica, l’adozione di modelli organizzativi vale ad
escludere la colpevolezza della Società in relazione
alla commissione del reato

49
50
IT e nuovi reati rilevanti
Legge 8 marzo 2008, n. 48
Criminalità informatica (mod. d.lgs. 231/01)
Trattamento dei dati personali (d.lgs. 196/03)
Delitti in materia di violazione del diritto d'autore (mod.
d.lgs. 231/01)
51
Reati informatici
52
ICT in azienda, a rischio reato
Per “reato informatico” intendiamo la fattispecie penalmente
rilevante prevista e punita dal codice penale o da leggi
speciali in cui gli strumenti informatici o telematici
rappresentino un elemento determinante ai fini della
qualificazione del fatto di reato
La condotta criminosa è realizzata per mezzo delle nuove
tecnologie o contro beni informatici. Può essere
considerato reato informatico tanto la frode commessa
attraverso il computer che il danneggiamento del sistema
informatico

53
Ruolo della tecnologia
strumento del reato (quando ciò che avviene in relazione
all’elaborazione non è di per sé illegale, ma serve a
commettere crimini di altro tipo, es. sabotaggio). In pratica
un sistema di elaborazione, o ciò che viene prodotto
dall’elaboratore, è usato come mezzo per compiere frodi,
sabotaggi, falsificazioni
oggetto del reato (ciò include la distruzione o la
manipolazione dell’elaboratore, dei dati e dei programmi in
esso contenuti e delle relative apparecchiature di supporto)
54
I nuovi “reati presupposto” ex 231 (art. 24bis)
Art.615-ter c.p.: Accesso abusivo ad un sistema informatico o telematico
Art.615-quarter: Detenzione e diffusione abusiva di codici di accesso ai sistemi
informatici o telematici
Art.615-quinquies: Diffusione di apparecchiature, dispositivi o programmi
informatici diretti a danneggiare o interrompere un sistema informativo o
telematico
Art.617-quaurter: Intercettazione, impedimento o interruzione illecita di
comunicazioni informatiche o telematiche
Art.617-quinquies: Installazione di apparecchiature atte ad intercettare,
impedire od interrompere comunicazioni informatiche o telematiche
Art.635-bis: Danneggiamento di informazioni, dati e programmi informatici
Art.635-ter: Danneggiamento di informazioni, dati e programmi informatici
utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità
Art.635-quarter: Danneggiamento di sistemi informatici o telematici
Art.635-quinquies: Danneggiamento di sistemi informatici o telematici di
pubblica utilità
(Art.640-ter: Frode informatica)
Art.640-quinquies: Frode informatica del soggetto che presta servizi di
certificazione di firma elettronica
Art.491-bis: Falsità di documenti informatici
55
Sistematica dei reati informatici rilevanti
violazione riservatezza e sicurezza informatiche
contro il patrimonio
contro la fede pubblica
56
Accesso abusivo a sistema informatico o
telematico
Art. 615-ter c.p.
Reato contro la riservatezza informatica che punisce la
condotta di chi si introduce abusivamente (eludendo una
qualsiasi forma, anche minima, di barriere all’accesso) in un
sistema informatico o telematico protetto da misure di
sicurezza, ovvero vi si mantiene contro la volontà di chi ha
diritto di escluderlo
Ipotesi di reato (interne ed esterne): riduzione del credito dei
clienti, maggiorazione dei costi dei servizi erogati,
fatturazione di servizi non richiesti, accesso a db,
informazioni su un concorrente (sull'offerta economica
presentata, sul portafoglio clienti…), ecc.

57
Danneggiamento di sistemi informatici o
telematici
Art. 635-quater c.p.
Reato contro il patrimonio che punisce la condotta di chi,
mediante le condotte di cui all’articolo 635-bis, ovvero
attraverso l’introduzione o la trasmissione di dati,
informazioni o programmi, distrugge, danneggia, rende, in
tutto o in parte, inservibili sistemi informatici o telematici
altrui o ne ostacola gravemente il funzionamento salvo che
il fatto costituisca più grave reato
Ipotesi di reato: alterazione del funzionamento del sistema
informatico usato da un cliente per la gestione delle sue
attività, cancellazione file di sistema, ecc.
58
Falsità di documenti informatici
Art. 491-bis c.p.
Reato contro la fede pubblica che punisce la condotta di chi
integra uno dei reati relativi alle falsità in atti, se alcuna delle
falsità previste dal Libro II, Titolo VII, Capo III Codice Penale
(artt. 476-493bis), riguarda un documento informatico
pubblico o privato, avente efficacia probatoria
Ipotesi di reato: falsità materiali in scrittura privata, falsità
ideologiche, uso di atto falso, soppressione distruzione e
occultamento di atti veri
59
Misure di prevenzione per l’azienda
In seguito all’introduzione dei crimini informatici tra quelli
previsti dal D.Lgs. 231/2001, le Società devono adottare
modelli e strumenti concreti di organizzazione, gestione,
monitoraggio e controllo al fine di:
garantire la protezione del patrimonio informativo
assicurare mediante adeguate policies aziendali il corretto
utilizzo delle risorse informatiche
disporre di evidenze informatiche che documentino
l’efficacia dei controlli, ma anche i fatti illeciti
misure di sicurezza e di controllo per prevenire la
commissione di reati informatici mediante l’ausilio di
strumenti tecnologici
60
E il trattamento dati?
Art. 24bis D.Lgs. 231/2001
“Delitti informatici e trattamento illecito di dati”
N.B.: invero non c’è alcuna disposizione nel d.lgs. 231
che faccia riferimento ai reati di cui al “Codice Privacy”
Si ricordi però l’art. 169 c. 1 D.Lgs. 196/2003 sull’omessa
adozione di misure minime di sicurezza dei dati

61
Privacy e 231
La normativa sulla Privacy copre l’intero ambito dei
processi aziendali e offre strumenti utili per prevenire e
provare gli illeciti di cui alla disciplina del D.Lgs.
231/2001
L’applicazione delle misure di sicurezza richieste dalla
normativa sul trattamento dati è fondamentale per
l’adeguamento al sistema 231 per poter gestire una
serie di rischi (parte I Titolo V e Allegato B del “Codice
privacy”)
62
Integrazione tra 231 e privacy
Possibili punti di integrazione:
Mappatura processi e procedure
Modelli di valutazione dei rischi e misure di sicurezza
(DPS, ecc.)
Disciplinare sull’utilizzo delle risorse informatiche,
posta elettronica e internet (policies)
Formazione del personale
Amministratore di Sistema
63
Tutela della
Proprietà Industriale e
Intellettuale
64
Tutela penale dei diritti di proprietà industriale
Legge 23 luglio 2009 n. 99, art 15
Nuovo art. 25-novies: Delitti in materia di violazione
del diritto d'autore
Tutela delle “opere dell’ingegno”: carattere creativo,
appartengono alla letteratura, alla musica, alle arti
figurative, all'architettura, al teatro ed alla
cinematografia, qualunque ne sia il modo o la forma di
espressione, programmi per elaboratore, banche di
dati (art. 1 Legge 633/1941)

65
Reati rilevanti ex 231
art. 171: diritti di utilizzazione economica e diritti morali
art. 171-bis: software e banche dati
art. 171-ter: fonogrammi o videogrammi di opere
musicali, cinematografiche o audiovisive, opere
letterarie, drammatiche, scientifiche o didattiche,
musicali o drammatico-musicali, multimediali, misure
tecnologiche di protezione, informazione elettroniche
sul regime dei diritti
art. 171-septies: contrassegno S.I.A.E. - omissione della
comunicazione
art. 171-octies: decodificazione di trasmissioni
audiovisive ad accesso condizionato
66
Comunicazione al Questore
Art. 174-quinquies
sospensione dell'esercizio o
dell'attività per un periodo non
inferiore a quindici giorni e non
superiore a tre mesi
cessazione temporanea
dell'esercizio o dell'attività per un
periodo da tre mesi ad un anno
in caso di recidiva specifica, è
disposta la revoca della licenza di
esercizio o dell'autorizzazione allo
svolgimento dell'attività
67
Problema secondario?
68
Chiavi di lettura

69
Una considerazione ed una riflessione
Molte sono norme giuridiche che incidono
(quotidianamente) sull’attività delle PMI
Quale strategia adottare?
Modello organizzativo integrato
i modelli di “autovalutazione” (D.Lgs. 231/01, D.Lgs.
196/2003, D.Lgs. 81/2008) e
i “protocolli volontari” (certificazioni di qualità, ambientali,
di sicurezza, ecc.)
70
Evitare che vengano a crearsi veri e propri
“sistemi paralleli”, che genererebbero solo
ulteriore burocrazia
Il Modello organizzativo deve tenere conto delle
“variabili organizzative” dell’azienda e deve
integrarsi con le procedure gestionali già in
essere in azienda
Opportunità per rafforzare la compliance
dell’impresa e occasione di crescita e sviluppo
71
Modello organizzativo integrato per processi
QUALITÀ
Norme tecniche
ISO/IEC
TrattamentoTrattamento
dati personalidati personali
(privacy e sicurezza)
Altre disposizioni
normative rilevanti
Modelli
organizzativi
(d.lgs. 231/01)
72
Ing. Igor Serraino
www.serraino.it
igor@serraino.it
Avv. Andrea Maggipinto
www.maggipinto.org
andrea.maggipinto@studiomra.it

Smau 2010 Milano :: Serraino Maggipinto

More Related Content

Viewers also liked

Similar to Smau 2010 Milano :: Serraino Maggipinto

Smau 2010 Milano :: Serraino Maggipinto