La L. 18 marzo 2008, n. 48, col suo art. 7 ha introdotto, nel D.Lgs. 8.6.2001, n. 231, l’art. “24 bis. Delitti informatici e trattamento illecito di dati”, che ha estesa la “responsabilità amministrativa dell’ente” agli illeciti penali precisati nell’articolo stesso.
Ai possibili soggetti passivi si è imposto di farsi attivi per sottrarsi al danno, alle possibili vittime di affrontare gli aggressori.
L’art. 24 bis estende la responsabilità amministrativa ai soli reati informatici in esso elencati e di seguito riportati:
– Falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491 bis c.p.);
– Accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.);
– Detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici (art. 615 quater c.p.);
– Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615 quinquies c.p.);
– Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617 quater c.p.);
– Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche. (art. 617 quinquies c.p.);
– Danneggiamento di informazioni, dati e programmi informatici (Art. 635-bis);
– Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo stato o da altro ente pubblico o comunque di pubblica utilità (Art. 635-ter);
– Danneggiamento di sistemi informatici o telematici (Art. 635-quater);
– Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635 quinquies c.p.);
– Frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.).
L’impresa per proteggersi da questi reati deve essere in grado di redigere un modello di gestione e di organizzazione idoneo a prevenire o ostacolare il verificarsi dei delitti informatici.
In questa logica sarà molto utile per le imprese approfondire i contenuti del GDPR e dei suoi due pilastri: 1) approccio basato sul rischio; 2) accountability.
La predisposizione di documenti importanti come il registro delle attività di trattamento e il compimento della DPIA possono offrire solide basi alle imprese per limitare i pericoli connessi al verificarsi di crimini informatici.