News

Il Modello Organizzativo 231 come strumento di prevenzione e difesa da attacchi informatici

La tecnologia permea sempre più all’interno della nostra quotidianità, passando attraverso l’utilizzo di dispositivi come smartphone fino ad arrivare ai sistemi IOT (Internet of Things) che possono facilitare le piccole azioni quotidiane. Il crescente utilizzo della tecnologia ha portato all’inevitabile aumento di attacchi perpetrati da agenti malevoli, non esclusivamente nei confronti dei singoli, sempre più di frequente vengono infatti coinvolte grandi realtà. Tra i soggetti più colpiti, troviamo sicuramente le imprese, per le quali un primo passo verso una tutela maggiore e capillare può riguardare l’adozione di un modello organizzativo, come previsto dal d.lgs. n. 231/2001 che introduce la responsabilità amministrativa da reato in capo all’ente, che sarà responsabile nel caso in cui soggetti apicali o subordinati commettano fattispecie criminose nell’interesse o vantaggio dell’ente stesso. Il suddetto decreto prevede dunque l’adozione di un modello organizzativo adeguato che, qualora venga correttamente applicato, potrà portare l’ente a non vedersi imputata la suddetta responsabilità. Tale modello non dovrebbe essere visto unicamente nell’ottica di evitare sanzioni, piuttosto come un’opportunità per migliorare l’organizzazione e la sicurezza interna così da tutelare efficacemente l’impresa nella sua interezza. Quest’ultimo deve necessariamente prevedere una corretta formazione del personale in quanto, tra le principali metodologie di attacco informatico perpetrate nei confronti degli enti, viene ad emergere il Phishing che mira ad ottenere credenziali d’accesso ovvero informazioni sensibili. Una particolare declinazione di questa metodologia d’attacco è il Whaling che prende di mira soggetti apicali e di spicco proprio in virtù del loro ruolo, fornendo potenzialmente l’accesso ad autorizzazioni interne particolarmente elevate. Una corretta divisione dei ruoli, che preveda ad esempio la concessione di eventuali autorizzazioni e credenziali d’accesso, limitatamente al tempo utile per lo svolgimento di mansioni prestabilite, renderà sicuramente meno probabile la commissione di reati da parte di soggetti apicali o subordinati.  Inoltre, una ripartizione adeguata, potrà rendere meno lesivo l’attacco perpetrato nell’ipotesi in cui un soggetto malevolo esterno dovesse riuscire ad ottenere tali credenziali. Un ulteriore esempio a sostegno dei Modelli 231 come mezzi di autotutela è ravvisabile nell’ipotesi di attacchi “Ransomware”, particolarmente lesivi per le imprese, che consistono in una particolare tipologia di offensiva che generalmente mira all’ottenimento di un riscatto. In particolare, l’agente malevolo “infetterà” un sistema informatico acquisendo o rendendo inaccessibili le informazioni in esso contenute. Un modello organizzativo che preveda la criptazione dei dati, rendendoli quindi non leggibili in assenza di una specifica chiave crittografica, ed il backup degli stessi su di un sistema diversificato, permetterà all’impresa di mantenere l’accesso alle informazioni senza dover subire una brusca interruzione del lavoro, oltre ad impedire l’eventuale utilizzo di dati riservati da parte dell’agente malevolo. Il d.lgs. n. 231/2001 prevede chiaramente sanzioni in capo a determinati enti che non mettano in atto un’organizzazione adeguata a contrasto della commissione dei reati, tuttavia, il Modello 231 non dovrebbe essere visto unicamente come un obbligo da rispettare, avente l’unico fine di evitare sanzioni, dovrebbe essere piuttosto osservato nell’ottica di migliorare la propria organizzazione interna, rendendo il lavoro più efficiente oltre che a permettere di contrastare eventuali interferenze esterne che potrebbero risultare estremamente lesive.

Paolo Ghiselli

Difensore cassazionista del Foro di Rimini, che si è specializzato nella difesa tecnica di procedimenti per reati societari, anche attraverso l’esperienza maturata nella redazione delle note a sentenza per le riviste specialistiche del Sole 24 Ore.
Utilizziamo i cookies per garantirti la migliore esperienza. Puoi scoprire maggiori informazioni nella cookie policy oppure gestirne i consensi nelle impostazioni privacy.
AccettoImpostazioni Privacy

GDPR

  • Statistiche

Statistiche

Cookie di analisi