Scatta la responsabilità amministrativa delle imprese per l’ipotesi di frode informatica commessa mediante furto di identità digitale e per le violazioni della privacy. E scatta la necessità di adeguare i modelli organizzativi del dlgs 231/2001, per evitare pesanti sanzioni pecuniarie amministrative.
La disciplina approvata dal decreto legge 93/2013, oltre a garantire la punibilità d’ufficio, per le frodi realizzate con il furto di identità digitale, aggiunge alla sanzione penale, anche quella amministrativa per le imprese, di cui fa parte il dipendente o manager autore del reato. Vengono aggiunti, infatti, gli articoli 640-ter codice penale, di nuova introduzione, e i delitti previsti dal codice della privacy all’elenco dei reati, per cui è prevista la sanzione pecuniaria da 100 a 500 quote (articolo 24-bis, comma 1, del decreto legislativo 231/2001).
Spiega nel dettaglio la corte di cassazione (relazione III-01-13) che il decreto 93/2013 ha provveduto a inserire, al citato articolo 24 bis del dlgs n. 231/2001, il reato di frode informatica aggravato dalla sostituzione dell’identita digitale nei cataloghi dei reati presupposto della responsabilita amministrativa degli enti, nei quali ha altresi aggiunto quelli di indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento di cui all’articolo 55, comma 9 del dlgs n. 231/2007, nonche i delitti (ma non le contravvenzioni) in materia di violazione della privacy previsti dal dlgs n. 196/2003 e cioe le fattispecie di trattamento illecito dei dati (articolo 167), di falsita nelle dichiarazioni notificazioni al Garante (articolo 168) e di inosservanza dei provvedimenti del garante (articolo 170). Se i primi due aggiornamenti dei cataloghi non paiono destinati ad assumere particolare rilevanza in sede applicativa, spiega la cassazione, il terzo risulta invece di grande impatto, soprattutto per la configurazione della responsabilita da reato degli enti per l’illecito trattamento dei dati, violazione potenzialmente in grado di interessare l’intera platea delle societa commerciali e delle associazioni private soggette alle disposizioni del dlgs n. 231/2001.
Sia per le violazioni della privacy sia per la frode informatica mediante furto di identità urge che le imprese predispongano quanto necessario per non incorrere nelle sanzioni amministrative.
In particolare le imprese devono adeguare al nuovo catalogo di reati presupposto della sanzione amministrativa i modelli organizzativi adottati in osservanza di quanto previsto dal decreto legislativo 231/2001.
Senza i modelli organizzativi, infatti, le imprese rischiano sanzioni da 25.800 a 774.500 euro.
In particolare ricorre la responsabilità delle imprese per i reati commessi nel suo interesse o a suo vantaggio da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale e anche da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; la medesima responsabilità ricorre se i reati presupposto sono commessi da persone sottoposte alla direzione o alla vigilanza.
Si scinde, invece, la responsabilità e l’impresa non subisce conseguenze se i responsabili hanno agito nell’interesse esclusivo proprio o di terzi.
Manager. Se il reato è stato commesso da soggetti in posizione apicale l’impresa non risponde se prova che l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi.
Da qui l’urgenza di adeguare sistemi e procedure organizzate per prevenire frodi informatiche e violazioni della privacy. Su funzionamento, osservanza e aggiornamento dei modelli ha il compito di vigilare un organismo dell’impresa dotato di autonomi poteri di iniziativa e di controllo. Questo significa che l’impresa può dimostrare che le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione. Sempre che non vi sia stata omessa o insufficiente vigilanza da parte dell’organismo.
La necessità di adeguare i modelli organizzativi ai reati di frode informatica mediante furto digitale e delitti di privacy deriva del fatto che gli stessi modelli, per disposizione di legge, devono: individuare le attività nel cui ambito possono essere commessi reati e prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire; individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli; introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
Nelle imprese di piccole dimensioni i compiti di vigilanza possono essere svolti direttamente dall’organo dirigente; nelle società di capitali il collegio sindacale, il consiglio di sorveglianza e il comitato per il controllo della gestione possono svolgere le funzioni dell’organismo di vigilanza.
Dipendenti. Nel caso di reati commessi da dipendenti l’impresa è responsabile se la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione o vigilanza. In ogni caso, è esclusa l’inosservanza degli obblighi di direzione o vigilanza se l’ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi. Il modello deve prevede, in relazione alla natura e alla dimensione dell’organizzazione nonché al tipo di attività svolta, misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio.
L’efficace attuazione del modello richiede: una verifica periodica e l’eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni o quando intervengono mutamenti nell’organizzazione o nell’attività; un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
© Riproduzione riservata