Reati informatici anche per le aziende
E’ stata ratificata dopo ben 6 anni e mezzo la convenzione di Budapest sulla lotta alla criminalità informatica (Convenzione approvata a Budapest il 23 novembre del 2001 ed entrata in vigore il 1° gennaio 2004). Molte le novità apportate dal testo al nostro ordinamento, tra cui inserimento di nuove fattispecie di reati informatici e modifica, in alcuni casi, delle vecchie previsioni normative.
In primo luogo viene soppresso il secondo periodo dell’articolo 491-bis, periodo che definiva (malamente) il documento informatico (“per documento informatico s’intende qualunque supporto informatico contenete dati o informazioni”[…]). Tale definizione, però, era in contrasto con quanto previsto dal Codice dell’amministrazione digitale (D.Lgs 82/2005): “Il documento informatico è la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”. Modifiche vengono introdotte all’articolo 615 quinquies (diffusione di virus) mentre sorgono ex novo il reato previsto dall’articolo 635 bis (danneggiamento informazioni e dati), e il reato di “danneggiamento di sistemi informatici o telematici”, articolo 635 ter. Anche il certificatore, soggetto chiave nel rilascio della firma digitale e di carte di servizi, viene sanzionato se viola gli obblighi previsti dall’articolo 32 del CAD (Truffa del certificatore – articolo 640 quinquies).
La novità più rilevante comunque è quella prevista dall’articolo 6 della legge ratifica. In tale norma si prevede un’estensione della responsabilità amministrativa dell’Ente derivante da reato. Infatti con l’introduzione dell’articolo 24 bis (Delitti informatici e trattamento illecito di dati), alle fattispecie già previste dal D.Lgs 231/2001 si aggiungono quelle che rientrano nella categoria dei reati informatici come gli articoli 615 ter cp, 617 quater cp, 617 quinquies cp, 635 bis cp, 635 ter cp, 635 quater cp e 635 quinquies cp. Inoltre, l’Ente potrà essere sanzionato se pone in essere a suo vantaggio o nel suo interesse i reati previsti dagli articoli 615 quater cp, 615 quinquies cp, 640 quinquies cp. Appare utile evidenziare che nonostante la rubrica dell’articolo 24 bis faccia riferimento al trattamento illecito dei dati, questo all’interno della norma non è presente, per cui non è sanzionato stante il principio che la rubrica non è legge. Si tratta di una svista un po’ maldestra.
Sempre in tema di protezione di dati personali, qualche perplessità sorge se si valutano tali novità alla luce della normativa posta a protezione dei dati personali e quelli derivanti dall’articolo 4 dello Statuto dei lavoratori. Infatti, stante il divieto di controllo a distanza del lavoratore da parte del datore, non sarà possibile, se non in particolari casi controllare la navigazione del lavoratore. Ma ciò a ben vedere potrebbe portare dei problemi in capo all’Ente stesso, in quanto se risulta commesso un reato dalla rete intestata all’Ente e non si riesce a identificare il colpevole, della condotta ne risponderà la società ai sensi dell’articolo 8 del D.Lgs 231/2001 (“La responsabilità dell’ente sussiste anche quando: l’autore del reato non è stato identificato o non è imputabile”). Ciò comporta, da una parte un maggior controllo sull’utilizzo della strumentazione informatica (con il necessario rispetto dei limiti previsti) e dall’altra maggiore sensibilità per le policy aziendali interne circa il corretto uso di internet e dei mezzi informatici messi a disposizione dall’Ente (datore di lavoro).
ALLEGATI
pagine tot foto
|