Docstoc

Modello di organizzazione_ gesti

Document Sample
Modello di organizzazione_ gesti Powered By Docstoc
					      D. Lgs. 231/2001:
      da novità normativa a strumento gestionale
      Torino, 25 marzo 2010 – Torino Incontra



Modello di organizzazione, gestione
 e controllo ex D.Lgs. 231/2001
         Reati informatici
            (art.24-bis)

           Dott. Carlo Salomone
                 REATI INFORMATICI E D.LGS 231/2001




La legge 18/03/2008 n. 48
“Ratifica ed esecuzione della Convenzione del
Consiglio d'Europa sulla criminalità informatica, fatta a
Budapest il 23 novembre 2001, e norme di
adeguamento dell'ordinamento interno”
ha introdotto nel D.Lgs. 8/06/2001 n 231 il nuovo
art. 24-bis
(Delitti informatici e trattamento illecito di dati quali
reati presupposto)


Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –     2
Relazione del Dott. Carlo Salomone
         ART. 24-BIS. c.1 - ESTRATTO DELLA NORMA
         (reati presupposto e sanzioni)
accesso abusivo a sistema informatico o telematico,
intercettazione , impedimento, interruzione illecita di
   comunicazioni informatiche o telematiche
installazione di apparecchiature atte a intercettare
   comunicazioni informatiche o telematiche
danneggiamento di informazioni dati programmi sistemi
informatici o telematici,
sanzione pecuniaria da cento a cinquecento quote
interdittive: di esercizio attività,
                   sospensione/revoca licenze, ecc. funzionali illecito,
                   divieto pubblicizzare beni e servizi
Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –             3
Relazione del Dott. Carlo Salomone
                  ART. 24-BIS. c.2 - ESTRATTO DELLA NORMA
                  (reati presupposto e sanzioni)

detenzione abusiva di codici di accesso
installazione di apparecchiature (…) atte a interrompere
 e danneggiare – sistemi informatici e telematici

sanzione pecuniaria sino a trecento quote
interdittive: sospensione/revoca licenze, ecc. funzionali illecito,
                    divieto pubblicizzare beni e servizi




 Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –       4
 Relazione del Dott. Carlo Salomone
                  ART. 24-BIS. c.3 - ESTRATTO DELLA NORMA
                  (reati presupposto e sanzioni)

falsità relative a documento informatico
frode del certificatore

sanzione pecuniaria sino a quattrocento quote.
interdittive: divieto contrattare con PA, eccetto per
                      ottenimento pubblico servizio
                    esclusione agevolazioni, finanziamenti, ecc.
                      eventuale revoca dei concessi
                    divieto pubblicizzare beni e servizi



 Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –           5
 Relazione del Dott. Carlo Salomone
                 REATI INFORMATICI E D.LGS 231/2001


Altri reati informatici (non inseriti nell’art. 24 bis)
- Frode informatica (art. 640-ter c.p.) ai danni di Stato o ente pubblico
   (in art. 24 D.Lgs 231/2001)
- Violazione diritto d’autore (artt. 171 …, -bis, -ter, -septies, -octies
  (Legge 22/04/1941) (in art. 25-novies D.Lgs 231/2001, introdotto
    dalla legge 23 luglio 2009 n. 99)
Reati informatici non inclusi nel D.LGS 231/2001
- Frode informatica non ai danni di Stato o ente pubblico (art. 640-ter c.p.)
- Falsificazione, alterazione o soppressione del contenuto di
  comunicazioni informatiche o telematiche (Art. 617-sexies c.p).
- Falsa dichiarazione o attestazione al certificatore di firma elettronica
   sull’identità o su qualità personali proprie o di altri (Art. 495-bis)

Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                     6
Relazione del Dott. Carlo Salomone
                 REATI INFORMATICI E D.LGS 231/2001
                 ALCUNE DEFINIZIONI

REATO INFORMATICO
Reato commesso per mezzo di sistemi informatici e/o telematici
e/o per cui vi siano prove in formato elettronico (“Convenzione di
Budapest”)
SISTEMA INFORMATICO
Qualsiasi apparato in grado di svolgere funzioni autonome di
elaborazione, anche se minime
SISTEMA TELEMATICO
Gruppo di apparecchiature interconnesse, una o più delle quali,
per mezzo di un programma, compiono l’elaborazione
automatica di dati (“Convenzione di Budapest”)


Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –           7
Relazione del Dott. Carlo Salomone
                 REATI INFORMATICI E D.LGS 231/2001
                 COLLOCAZIONE
- falsità: riferita ai documenti informatici
- violazione di domicilio: accesso abusivo, detenzione/diffusione
     di codici di accesso, diffusione di hardware/software atti a
     danneggiare/interrompere sistemi informatici/telematici
- inviolabilità dei segreti: intercettazione, interruzione,
     impedimento di comunicazioni informatiche/telematiche,
     installazione di apparecchiature di intercettazione
- danneggiamento: di informazioni, dati, sistemi informatici e
     telematici, “semplici” e di “pubblica utilità”
- truffa: frode informatica, effettuata alterando/operando su
              informazioni, dati sistemi informatici/telematici
         frode informatica del certificatore di firma elettronica

Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –        8
Relazione del Dott. Carlo Salomone
                     REATI PRESUPPOSTO
                     Falsità in documenti informatici
                                                  (art. 491-bis c.p.)
E’ il delitto di commissione di falsità, secondo i seguenti articoli del c. p.
  476-481 Falsità materiale, ideologica commessa da pubblico ufficiale
  482-483 Falsità materiale, o ideologica in atto pubblico, di privato
  484-488 Falsità in registri, scritture private, fogli firmati in bianco
  489      Uso di atto falso
  490      Soppressione di atto vero
su un documento informatico, definito dal D.Lgs 7/03/2005 n. 82 Art. 1 P
(Codice Amministrazione Digitale) e successive integrazioni,
“... la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”

Punti rilevanti del nuovo art. 491-bis (da Legge 18/03/2008 n. 48)
• non più legame al supporto fisico
• efficacia probatoria: allineamento al C.A.D.: “firma elettronica qualificata”
    Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                       9
    Relazione del Dott. Carlo Salomone
                 REATI PRESUPPOSTO
                 Accesso abusivo ad un sistema informatico o
                 telematico                 (art. 615-ter c.p.)
Chiunque abusivamente si introduce in un sistema informatico o
telematico protetto da misure di sicurezza ovvero vi si mantiene
contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è
punito con la reclusione fino a tre anni.

Aumenti di pena (da uno da uno a cinque anni) se reo
1) è pubblico ufficiale (…), abusa dei poteri / viola doveri di funzione o
servizio, è investigatore privato (anche abusivo), operatore del sistema;
2) usa violenza sulle cose o alle persone, è palesemente armato;
3) distrugge o danneggia il sistema, ne interrompe il funzionamento,
distrugge o danneggia dati, informazioni programmi in esso contenuti.
Se si tratta di sistemi informatici o telematici di interesse militare o
pubblico pena rispettivamente da uno a cinque anni e da tre a otto anni.

Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                 10
Relazione del Dott. Carlo Salomone
                 REATI PRESUPPOSTO
                 Accesso abusivo ad un sistema informatico o
                 telematico                 (art. 615-ter c.p.)
Figure che accedono abusivamente a rete informatica:
• hacker: accede al sistema solo per dimostrarne la violabilità
• cracker: vi accede per danneggiarlo o utilizzarlo indebitamente
Tipologie di accesso abusivo:
a) Accesso a sistema interconnesso a rete (Lan, WAN, Internet) cui NON si è
autorizzati
  - caso hacker:
      “traccia imbarazzante” per IT, che ripristina / tende a nascondere il fatto
   - caso cracker: come hacker, ed inoltre
       presenza di danno, talvolta di difficile valutazione, meno nascondibile

In ogni caso esiste un’insufficiente protezione all’accesso (tecnica o pratica)
oppure dolo dall’“interno”, che ha rivelato/facilitato le modalità di accesso


Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                             11
Relazione del Dott. Carlo Salomone
                 REATI PRESUPPOSTO
                 Accesso abusivo ad un sistema informatico o
                 telematico                 (art. 615-ter c.p.)
Tipologie di accesso abusivo (segue):
b) Accesso a sistema di cui si dispone validamente delle credenziali, ma per
funzioni diverse dall’accesso effettuato
  - normalmente può essere un dipendente o collaboratore infedele
  - frequentemente: è “impersonamento” di collega autorizzato, conoscendone
    illecitamente le credenziali
  - è restare all’interno di un sistema contro la volontà (“policy”) del
    responsabile (amministratore IT)




Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                   12
Relazione del Dott. Carlo Salomone
                   REATI PRESUPPOSTO
                   Detenzione e diffusione abusiva di codici di
                   accesso a sistemi informatici o telematici
                                            (art. 615-quater c.p.)
ottenere illecitamente, riprodurre, diffondere codici, parole chiave, ecc. per
  oppure
fornire indicazioni idonee a
accedere a un sistema informatico o telematico, protetto da misure di
    sicurezza
per ottenere profitto o arrecare danno

Sanzioni:
reclusione sino ad un anno e multa sino a euro 5.164
aggravanti (pubblico ufficiale, operatore di sistema, sistemi di “pubblica utilità”)
  reclusione da uno a due anni e multa da euro 5.164 a euro 10.329

  Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                     13
  Relazione del Dott. Carlo Salomone
                 REATI PRESUPPOSTO
                 Diffusione di apparecchiature, dispositivi o
                 programmi informatici diretti a danneggiare o
                 interrompere un sistema informatico o
                 telematico                (art. 615-quinquies)

procurare produrre riprodurre diffondere apparecchiature, dispositivi,
        programmi informatici (“virus” e “malware” in generale)
con lo scopo di
        - danneggiare sistema informatico o telematico, informazioni,
                dati programmi
        - interromperne/alterarne il funzionamento

Sanzioni:
reclusione fino a due anni, multa sino a euro 10.329.

Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –             14
Relazione del Dott. Carlo Salomone
                 REATI PRESUPPOSTO

Art. 615-quater (Detenzione e diffusione abusiva di codici di accesso a
         sistemi informatici o telematici )
Art. 615-quinquies (Diffusione di apparecchiature, dispositivi o
         programmi informatici diretti a danneggiare o interrompere un
         sistema informatico o telematico )

- permettono l’accesso abusivo (615-ter)
- cui può seguire danneggiamento (artt. 635-bis, ter, quater, quinquies), o
  intercettazione di comunicazioni (617-quater) , o installazione di
   apparecchiature di intercettazione di comunicazioni (617-quinquies)
- in particolare il 617-quinquies, in quanto si installino dispositivi, può indicare
   una insufficiente protezione fisica di sistema e rete.




Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                                15
Relazione del Dott. Carlo Salomone
                  REATI PRESUPPOSTO
                  Intercettazione, impedimento, interruzione
                  illecita di comunicazioni
                  informatiche/telematiche (art. 617-quater c.p.)
intercettare, impedire, interrompere comunicazioni da/tra sistema/i
informatici o telematici
rivelare al pubblico il contenuto parziale/totale delle comunicazioni

NB
- comunicazioni: trasmissioni di dati suoni immagini programmi via
    sistemi ICT
- requisiti: fraudolenza; rivelazione “al pubblico”
Sanzioni: (querela) reclusione da sei mesi a quattro anni.
ma procedimento d’ufficio se pubblico ufficiale, operatore di sistema,
sistemi di “pubblica utilità”, investigatore privato (anche abusivo)
   reclusione da uno a cinque anni

 Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                 16
 Relazione del Dott. Carlo Salomone
                 REATI PRESUPPOSTO             Installazione di
                 apparecchiature atte ad intercettare, impedire
                 o interrompere comunicazioni informatiche o
                 telematiche (art. 617-quinquies c.p.)
 illegalmente installare apparecchiature atte ad intercettare, impedire
 o interrompere comunicazioni di sistema informatico o telematico o di
 più sistemi
 NB
 - comunicazioni: trasmissioni di dati suoni immagini programmi via
     sistemi ICT
 - installazione: è sufficiente la funzionalità dell’apparato, anche se non
     attivo o utilizzato
 Sanzione: reclusione da uno a quattro anni
 Aggravanti: pubblico ufficiale, operatore di sistema, sistemi di
 “pubblica utilità”, investigatore privato (anche abusivo):
      reclusione da uno a cinque anni
Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                  17
Relazione del Dott. Carlo Salomone
                    REATI PRESUPPOSTO               Danneggiamento
                    di dati e sistemi informatici e telematici
Danneggiamento di informazioni, dati e programmi
informatici                              (art. 635-bis c.p.)
distruggere, deteriorare, cancellare, alterare o sopprimere informazioni,
dati o programmi informatici altrui
Sanzione (querela) reclusione da 6 mesi a tre anni
Aggravanti (d’ufficio) violenza, oper sistema, reclusione da uno a quattro anni
Danneggiamento di sistemi informatici o telematici
                                     (art. 635-quater c.p.)
tramite condotte di cui all’art. 635-bis, o con introduzione/trasmissione di dati,
informazioni o programmi, distruggere, danneggiare, rendere inservibili
sistemi informatici o telematici altrui, ostacolarne il funzionamento
Sanzione reclusione da uno a cinque; aumento per aggravante
Nb: sono reati di evento (è necessario il verificarsi del danno)
   Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                   18
   Relazione del Dott. Carlo Salomone
                    REATI PRESUPPOSTO Danneggiamento dati o
                    sistemi informatici/telematici di pubblica utilità
Danneggiamento di informazioni, dati e programmi
informatici di pubblica utilità          (art. 635-ter c.p.)
commettere fatto diretto a distruggere, deteriorare, cancellare, alterare o
sopprimere informazioni, dati o programmi informatici usati da / pertinenti a
Stato, ente pubblico o di pubblica utilità
Danneggiamento di sistemi informatici o telematici di
pubblica utilità                 (art. 635-quinquies c.p.)
commettere azioni di cui art. 635-quater dirette a distruggere, danneggiare,
rendere inservibili sistemi informatici o telematici di pubblica utilità
Nb
- delitto di attentato (non necessario il verificarsi dell’evento dannoso)
- delitto aggravato se l’evento si verifica;
                  aggravanti: violenza / operatore di sistema
   Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –               19
   Relazione del Dott. Carlo Salomone
                 REATI PRESUPPOSTO

Art. 617-quater (Intercettazione, impedimento o interruzione illecita di
comunicazioni informatiche o telematiche)
Art. 617-quinquies (Installazione di apparecchiature atte ad intercettare,
impedire o interrompere comunicazioni informatiche o telematiche)
Art. 635-bis (Danneggiamento di informazioni, dati e programmi
informatici)
Art. 635-ter (Danneggiamento di informazioni, dati e programmi
informatici utilizzati dallo Stato o da altro ente pubblico o comunque di
pubblica utilità)
Art. 635-quater (Danneggiamento di sistemi informatici o telematici
Art. 635-quinquies (Danneggiamento di sistemi informatici o telematici di
pubblica utilità)
- Presuppongono l’accesso abusivo (615-ter)
- In sintesi si prevengono se la protezione del sistema ne regola l’ingresso e
   l’uscita


Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                      20
Relazione del Dott. Carlo Salomone
                 REATI PRESUPPOSTO
                 Frode informatica del soggetto che presta
                 servizi di certificazione di firma elettronica
                                         (art. 640-quinquies c.p.)
Il soggetto che presta servizi di certificazione di firma elettronica,
il quale, al fine di procurare a sé o ad altri un ingiusto profitto
ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla
legge per il rilascio di un certificato qualificato, è punito con la
reclusione fino a tre anni e con la multa da 51 a 1.032 euro
ELEMENTI CARATTERIZZANTI:
- reato proprio (possibilità di concorso), dolo specifico
- si riferisce ad ente che rilasci certificati digitali qualificati ai sensi del
    D.Lgs 7/03/2005 n. 82 (Codice Amministrazione Digitale)
- norme rilascio certificato: (…) identificazione soggetto, pubblicazione,
   CRL, non essere depositario dati per creazione firma digitale titolare


Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                            21
Relazione del Dott. Carlo Salomone
                 CORRELAZIONE E CONCORSO TRA I REATI

                                detenzione
                                   codici
                                615-quater




                 accesso
                 abusivo
                  615-ter
                                                            diffusione
                                                          hw/sw dannosi
                                                          615-quinquies



Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                   22
Relazione del Dott. Carlo Salomone
                 CORRELAZIONE E CONCORSO TRA I REATI

                              danneggiamento
                               dati/programmi
                                 635 bis ter
                                                          intercettazione
                                                           interr comunic
    accesso                                                  617 quater
    abusivo
     615 ter

                                                           installazione
                                                          appar intercett
                               danneggiamento             617 quinquies
                                sistemi info/tele
                               635 quater quinquies

Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                     23
Relazione del Dott. Carlo Salomone
                 CORRELAZIONE E CONCORSO TRA I REATI

                                                          detenzione
              accesso                                        codici
              abusivo                                     615-quater
               615-ter




                  Falsità
                                                                frode
               Documento
                                                             informatica
               informatico
                 491-bis                                       640-ter

      Reati compiuti attraverso l’uso di sistema informatico

Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                    24
Relazione del Dott. Carlo Salomone
                  CORRELAZIONE E CONCORSO TRA I REATI


Alcune Sentenze Cassazione 1993-2009 su reati informatici
    41     viste, di cui
    18     con attribuzione responsabilità penale per un solo reato informatico
     7     con attribuzione responsabilità penale per due reati informatici, tutte con 615-ter

  Frequenza                articolo                  Frequenza          articolo
      5                    491-bis                       1              635-bis
     11                    615-ter                       0              635-ter
      5                    615-quater                    0              635-quater
      0                    615-quinquies                 0              635-quinquies
      4                    617-quater                    5              640-ter
      1                    617-quinquies,                0              640-quinquies



                           Fonte: interrogazione non esaustiva di banche dati giurisprudenza


 Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                                    25
 Relazione del Dott. Carlo Salomone
                 AREE A RISCHIO – ASPETTI GENERALI


LA POSSIBILITA’ DI COMMETTERE REATI
INFORMATICI
E’ CONNESSA ALL’USO DEI SISTEMI INFORMATICI E
TELEMATICI,
DIFFUSI IN OGNI AMBITO AZIENDALE E
ORGANIZZATIVO.




Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –   26
Relazione del Dott. Carlo Salomone
                 AREE A RISCHIO – PRESUPPOSTI


falsità di documenti informatici (art. 491-bis)
Presenza di documenti informatici nei processi
     dell’ente
     di enti esterni cui vi è prassi di accesso
reati connessi all’accesso (art. 615-ter, art. 615-quater)
Accesso dall’esterno al sistema da parte di soggetti esterni al’ente (es.
siti web informativi, di e-commerce; di consultazione ed interazione)

Accesso dall’esterno al sistema da parte di soggetti appartenenti
all’ente (es. reti private virtuali, o “ VPN”)

Prassi nei processi dell’ente di accesso a ambienti informatici e
telematici interni e/o esterni

Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                 27
Relazione del Dott. Carlo Salomone
                 AREE A RISCHIO – PRESUPPOSTI


reati di intercettazione, interruzione, impedimento di
comunicazioni
  (art. 617 quater, art. 617-quinquies)
reati di danno a sistemi informatici e telematici in senso lato
  (art. 615-quinquies) (virus informatici e simili)
  (art. 635-bis, art.635-quater) (danneggiamento a soggetti privati)
  (art. 635-ter, art.635-quinquies) (danneggiamento a soggetti
                                    pubblici o di pubblica utilità)
i presupposti sono gli stessi dei reati di accesso
frode informatica del certificatore (art.640-quinquies)
sussistenza dello status di ente certificatore (DPR 28/12/2000, n. 445)
(al fine della possibilità di commissione del reato proprio)
nb: il reato può essere commesso in concorso da altri soggetti
Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                   28
Relazione del Dott. Carlo Salomone
                   MODELLO ORGANIZZATIVO
                                                                 CODICE ETICO
• inserire nel Codice Etico-Comportamentale principi e valori per l’utilizzo della
  strumentazione informatica nello svolgimento della sua attività;
• recepire nel Codice Etico-Comportamentale, almeno come richiamo, le
  modalità di utilizzo e le linee-guida di impiego degli strumenti informatici
  contenute nel Documento di Policy Aziendale sull’informatica
• inserire nei contratti con “esterni” l’impegno al rispetto del Codice Etico
In particolare occorre
a) definire e regolamentare affidamento/custodia degli strumenti informatici;
b) definire e regolamentare i limiti di utilizzo degli strumenti informatici (di
   norma solo per attività lavorative e non per personali)
c) disporre regole sull’utilizzo di dispositivi e di credenziali di accesso e loro
   utilizzazione, compreso l’uso delle aree dei server aziendali;
d) definire e regolamentare le modalità di produzione della documentazione,
   anche in forma cartacea, e della loro custodia;
e) definire e regolamentare l’impiego della rete internet e della posta elettronica
  Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                             29
  Relazione del Dott. Carlo Salomone
                 MODELLO ORGANIZZATIVO
                                     ANALISI DEI RISCHI


Nell’effettuare la mappatura delle aree di rischi occorre considerare che

a) l’utilizzo della strumentazione informatica coinvolge ogni area
   e processo
b) sono rilevanti le capacità informatiche singole
c) la commissione di reati informatici presupposti può avvenire sia con i
   mezzi informatici aziendali che di proprietà singola




Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                30
Relazione del Dott. Carlo Salomone
                 MODELLO ORGANIZZATIVO
                                   GESTIONE DEI RISCHI

Introdurre limitazioni all’uso degli strumenti informatici tramite strumenti
tecnici:

a) Limiti navigazione internet, via proxy, firewall, filtri accesso siti web
b) blocco chat e messaging, programmi social network
c) impedire installazione programmi da parte utenti (nb “licenze”)
d) registrazione delle attività (Log) cfr. provvedimento Garante Privacy
   del 27/11/2008 (Misure … prescritte ai titolari dei trattamenti … circa
   … attribuzione funzioni a amministratori di sistema)




Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                   31
Relazione del Dott. Carlo Salomone
                 MODELLO ORGANIZZATIVO
                                   GESTIONE DEI RISCHI

Definizione dei protocolli penal-preventivi:

• definizione e pubblicizzazione di specifiche deleghe nelle varie
  aree aziendali (in particolare, nell’area Informatica), con
  precisa specificazione di poteri e responsabilità dell’amministratore
  di sistema e dei suoi collaboratori;
• proceduralizzazione delle attività informatiche, nonché delle altre
  attività da considerarsi a rischio-reato, svolte con strumenti informatici;
• definizione di un processo continuo di informazione e di formazione
  generalizzato su commissibilità di reati informatici presupposti,
  e relative misure di prevenzione



Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                    32
Relazione del Dott. Carlo Salomone
                 AREE A RISCHIO – PRINCIPALI RIFERIMENTI

0) TUTTE LE AREE
     Accesso ai sistemi ICT aziendali
     Uso di posta elettronica
1) CORPORATE GOVERNANCE E DIREZIONE GENERALE
     gestione documenti informatici
     gestione dati riservati
     gestione credenziali e certificati digitali
2) AMMINISTRAZIONE – LEGALE – AFFARI SOCIETARI
     gestione documenti informatici
     gestione dati riservati
     gestione credenziali e certificati digitali per comunicazioni a uffici
       pubblici
3) FINANZA E CONTROLLO
     processi di pagamento
     accesso a sistemi di banche e istituzioni finanziarie
Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                       33
Relazione del Dott. Carlo Salomone
                 AREE A RISCHIO – PRINCIPALI RIFERIMENTI

4) COMMERCIALE E VENDITE
    accesso a sistemi di clienti e partner commerciali
    gestione documenti informatici
5) R&S
    accesso a sistemi esterni
    gestione documenti informatici
    gestione dati riservati
    gestione credenziali e certificati digitali
6) RISORSE UMANE
    gestione dati riservati, sensibili
7) APPROVVIGIONAMENTO E ACQUISTI
    accesso a sistemi di fornitori e partner commerciali
    gestione credenziali e certificati digitali per accesso a gare e
       processi di e-procurement
    gestione documenti informatici
Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                34
Relazione del Dott. Carlo Salomone
                 AREE A RISCHIO – PRINCIPALI RIFERIMENTI


8) PRODUZIONE & LOGISTICA
     accesso a sistemi di fornitori, clienti e partner commerciali
     gestione credenziali e certificati digitali per comunicazioni a uffici
       pubblici (es. dichiarazione al registro INES – EPER [“emissioni
       inquinanti industriali”])
10) SICUREZZA FISICA
     presidio e protezione fisica infrastrutture ICT
11) ICT
     presidio e protezione logica sistemi ICT
     gestione documenti informatici
     gestione credenziali di accesso ai sistemi ICT interni, esterni
     gestione procedure assegnazione credenziali e certificati digitali




Convegno: “Il D.Lgs. 231/2001” 25 marzo 2010 – Torino –                       35
Relazione del Dott. Carlo Salomone