REATI INFORMATICI: LA RESPONSABILITÀ DELLE SOCIETÀ

La responsabilità di persone giuridiche ed enti per i reati informatici.

Reati informatici la responsabilità delle società

All’interno dell’azienda i rischi correlati al crimine informatico sono enormi: la maggior parte dei processi aziendali sono oggi informatizzati o digitalizzati.

D’altra parte il D.Lgs. 231/2001 prevede espressamente che tra l’autore del reato e l’azienda in questione non debba necessariamente configurarsi un rapporto di lavoro subordinato, essendo rilevabile il disvalore penale anche nei rapporti con i terzi, siano essi collaboratori o consulenti esterni.

In particolare è fondamentale che le aziende valutino, secondo un ragionamento ex ante, la reale affidabilità di tali consulenti o collaboratori, con la necessità di prevedere espressamente nei contratti di lavoro una clausola in tema di responsabilità in conseguenza delle violazioni di cui al D.Lgs. 231/2001 (così D. Vozza in S News Informazione per la sicurezza – 23.10.2019).

Come ormai noto, la prevenzione dei reati informatici passa inevitabilmente attraverso la predisposizione di misure di sicurezza o “modelli di organizzazione”, per definirli come il D.Lgs. 231/2001.

1. UN PASSO INDIETRO: LA RESPONSABILITÀ DELLE PERSONE GIURIDICHE NEL D.LGS. 231/2001

La normativa in oggetto ha travolto il principio societas delinquere non potest, secondo cui le società non potrebbero essere soggetti attivi di reati, introducendo nel nostro ordinamento una nuova forma di responsabilità, a metà tra responsabilità amministrativa e afflittiva.

In ogni caso essenziale ai fini della configurabilità della responsabilità penale dell’ente è la realizzazione di una fattispecie penale da parte di un soggetto (apicale o sottoposto) ai sensi dell’art. 5 del decreto, che abbia agito nell’interesse (valutazione ex ante) e a vantaggio (ex post) dell’ente. A tali soggetti sono equiparati coloro che esercitano, di fatto, tali poteri o facoltà.

Dal punto di vista della natura di tale responsabilità, l’orientamento dominante parla di una colpa o colpevolezza in organizzazione.

Ciò che ai nostri fini più rileva, tuttavia, è la presenza o meno di un Modello di Organizzazione e Gestione (MOG) efficacemente adottato dalla società per prevenire e fronteggiare i rischi connessi alla realizzazione di tali condotte illecite.

Naturalmente tale modello deve essere efficacemente adottato e attuato prima della commissione del fatto: la responsabilità dell’ente è esclusa se il Modello è stato eluso fraudolentemente dal soggetto apicale che ha commesso il fatto (così D. Fondaroli in Cybercrime – UTET 2019).

2. I REATI INFORMATICI “COMMESSI” DALLA PERSONA GIURIDICA

I reati informatici fanno parte della previsione di cui al D.Lgs. 231/2001, seppur non in modo preminente.

Quando parliamo di reato informatico intendiamo un possibile duplice significato: reati commessi medianti strumenti informatici ovvero reati che hanno conseguenze di natura informatica.

L’utilizzo dello strumento informatico è trasversale a tutti i membri dell’azienda: è un nodo nevralgico.

Certamente il reato informatico deve rientrare nel catalogo dei reati presupposto o comunque previsto dal D.Lgs. 231/2001, ovvero da altra norma che richiami il decreto in oggetto.

Gli articoli 24, 24 bis ed anche 25 novies D.Lgs. 231/2001 prevedono i reati informatici di cui all’oggetto, in particolare la seconda norma differenzia la cornice sanzionatoria a seconda della tipologia di reato.

Si consideri ad esempio la frode informatica: essa è punita con la sanzione pecuniaria sino a 500 quote; nel caso in cui l’ente abbia conseguito un profitto di rilevante entità o è derivato un danno di particolare gravità, la sanzione va da 200 a 600 quote. In relazione alla commissione del reato possono essere applicate la sanzioni interdittive.

L’art. 24 bis stabilisce altresì la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito e il divieto di pubblicizzare beni o servizi.

Le ipotesi di configurazione della responsabilità sono molteplici, ad esempio: la società potrebbe giovarsi della commissione del reato mediante alterazione di registri informatici ovvero ancora la produzione alla p.a. di documenti falsi attestanti l’esistenza di condizioni essenziali per partecipare ad una gara, ottenere licenze/autorizzazioni/finanziamenti (così D. Fondaroli in Cybercrime – UTET 2019).

Nonostante la potenzialità dirompente di tale normativa che, per ovvi motivi, in questa sede non può essere approfondita interamente, le rassegne giurisprudenziali non sono di grande rilievo. Il dato è forse sintomatico della difficoltà di applicazione della disciplina, a partire sicuramente dalla difficile individuazione della persona fisica materialmente autrice del reato c.d. presupposto.

Un secondo problema è la necessaria verifica dell’interesse o del vantaggio che la società ha avuto o tratto dal reato.

La Giurisprudenza formatasi sul tema ha recentemente (Cass. Pen., sez. IV, n. 53285/2017) stabilito che è ravvisabile l’interesse dell’ente nel caso in cui l’omessa predisposizione dei sistemi di sicurezza, o l’inadeguatezza dell’attività di formazione e informazione dei lavoratori, determini un risparmio di spesa.

La portata trasversale dei reati informatici fa sì che i potenziali destinatari di tali ragionamenti siano tutti coloro che abbiano accesso al sistema informatico di cui è dotata un’azienda.

3. ALCUNI CENNI DI PRIVACY

La questione della tutela della riservatezza o privacy si ripropone con forza, basti pensare alla definizione di dato personale: qualsiasi informazione riguardante una persona identificata o identificabile.

Gli infiniti dati personali con i quali l’azienda entra in contatto necessitano di banche dati che impongono presidi adeguati.

La prevenzione di tali reati passa attraverso la predisposizione di necessarie misure di sicurezza, per assicurarla da alcune delle gravi ripercussioni di cui al D.Lgs. 231/01; ma il rispetto della normativa privacy, prevedendo l’adozione di modelli organizzativi adeguati, consente di prevenire la commissione dei reati presupposto del decreto.

Essi assumono valore esimente solamente se attuati e portati a conoscenza di dipendenti e stakeholders.