PARTE SPECIALE c) Reati Societari
39. LE ATTIVITA’ A RISCHIO
Rev. 10 del:
27.05.2021
MODELLO 231
Pag.135 di 272
Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies cod.pen)
Il reato è previsto in caso di prestazione di servizi di certificazione di firma elettronica, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, con violazione degli obblighi previsti dalla legge per il rilascio di un certificato qualificato.
39. LE ATTIVITA’ A RISCHIO
I reati sopra considerati trovano come presupposto l’utilizzo di strumenti informatici e l’abuso di tali strumenti nell’interesse dell’Ente.
In generale, vengono definite aree a rischio, tutte quelle aree aziendali che, per lo svolgimento della propria attività, utilizzano strumenti informatici, con particolare riferimento alla divisione informatica e alle funzioni che potrebbero accedere, quanto meno in linea teorica, agli strumenti informatici altrui. Il rischio è ipotizzabile per tutte le funzioni aziendali, stante l’utilizzo quotidiano da parte di tutti degli strumenti informatici, ma solo in linea astratta. In realtà, infatti, la Società non ha possibilità di accedere ai sistemi altrui, senza autorizzazione e l’ipotesi di abuso è piuttosto remota.
Le aree di attività ritenute più specificamente a rischio, quali sono state individuate in sede di identificazione dei processi sensibili, sono state circoscritte nelle seguenti:
1. la partecipazione a procedure di gara o di negoziazione diretta, indette da enti pubblici per l’assegnazione di commesse (di appalto, di fornitura o di servizi), di concessioni, di partnership, di attività (complessi aziendali, partecipazioni, eccetera) o altre operazioni similari. Rientrano nell’area a rischio, in caso di aggiudicazione, anche:
- l’espletamento della commessa
- i rapporti con eventuali subappaltatori e - le attività di collaudo
2. la negoziazione, stipulazione ed esecuzione di contratti con la P.A. a seguito di procedure ad evidenza pubblica e/o non a evidenza pubblica (redazione offerte, contratti, interventi specialistici, comunicazioni e/o approntamento di documentazione/dichiarazioni, fatturazione, gestione/esigibilità del credito)
3. le partecipazioni a procedure per l’ottenimento di erogazioni, contributi o finanziamenti da parte di organismi pubblici italiani o comunitari, nonché il concreto impiego dei fondi ottenuti (comunicazione di dati o predisposizione di documenti per la richiesta di erogazioni, contributi o finanziamenti per attività di formazione interna, gestione di eventuali fondi pubblici per attività di formazione interna);
4. i rapporti con la P.A. per la gestione di adempimenti, verifiche, ispezioni o per la richiesta di autorizzazioni, permessi o altri provvedimenti amministrativi strumentali all’attività della società;
5. l’espletamento di procedure per l’ottenimento di provvedimenti autorizzativi e licenze da parte della Pubblica Amministrazione.
Eventuali integrazioni delle suddette aree a rischio, ivi incluse quelle afferenti la mappatura delle aree a rischio, potranno essere disposte dal Consiglio di Amministrazione, anche a seguito dell’esame di attività di reporting periodico da parte dell’OdV e dei soggetti che svolgono attività di monitoraggio e verifica.
Rev. 10 del:
27.05.2021
MODELLO 231
Pag.136 di 272
Le aree a rischio reato, così identificate, costituiscono il punto di riferimento nella definizione delle procedure di controllo da implementare, ai fini dell’adeguamento del sistema di controlli interno.
40. PRINCIPI GENERALI DI COMPORTAMENTO
Obiettivo della presente parte speciale è di fare in modo che tutti i Destinatari, amministratori, dirigenti e dipendenti operanti nelle aree di attività a rischio, nonché collaboratori esterni e partners, nella misura in cui sono coinvolti nello svolgimento di attività nelle aree a rischio, si attengano a regole di condotta conformi a quanto prescritto, dalla parte speciale stessa, al fine di prevenire ed impedire il verificarsi di reati.
La presente parte speciale ha la funzione di:
a) fornire i principi generali e procedurali specifici cui i Destinatari, in relazione al tipo di rapporto in essere con la Società, sono tenuti ad attenersi per una corretta applicazione del modello b) fornire all'OdV e ai responsabili delle altre funzioni aziendali, chiamati a cooperare con lo
stesso, gli strumenti operativi per esercitare le attività di controllo, monitoraggio e verifica previste.
Nell'espletamento di tutte le operazioni, oltre alle regole di cui al presente Modello, i Destinatari devono, in generale, conoscere e rispettare, con riferimento alla rispettiva attività, le regole ed i principi contenuti nel Codice Etico e in tutti i documenti aziendali atti a regolare tali attività. A titolo esemplificativo, ma non esaustivo:
- il codice etico
- il DPS per la tutela della Privacy e ogni altro documento/procedura instaurata relativamente al trattamento dei dati tramite supporti informatici
- ogni altra normativa relativa al sistema di controllo interno in essere
Ai collaboratori esterni deve essere resa nota l’adozione del modello e del codice etico, da parte della società: il rispetto dei principi contenuti in tali documenti costituisce obbligo contrattuale a carico di tali soggetti.
La presente parte speciale prevede l’espresso DIVIETO, a carico degli esponenti aziendali, in via diretta, ed a carico dei collaboratori esterni, tramite apposite clausole contrattuali, di:
1. porre in essere comportamenti tali, da integrare le fattispecie di reato informatico e trattamento illecito di dati come individuate nella presente Parte Speciale
2. porre in essere comportamenti che, sebbene non risultino tali, da costituire di per sé fattispecie di reato rientranti tra quelle sopra considerate, possano potenzialmente diventarlo
3. porre in essere qualsiasi comportamento attivo o omissivo, difforme rispetto agli atti di autoregolazione adottati da ASCIT ed agli obblighi di legge, idoneo a realizzare o non prevenire o non neutralizzare una condizione di conflitto di interessi nei confronti della Pubblica Amministrazione, in relazione a quanto previsto dalle predette ipotesi di reato.
Nell’ambito dei suddetti comportamenti, è fatto divieto in particolare di:
autorizzata da apposito accordo contrattuale e comunque con violazione delle procedure esistenti in materia di trattamento dei dati personali ex D. Lgs. 196/2003.
Ai fini dell’attuazione dei comportamenti di cui sopra ASCIT SpA si è dotata del DPS e di apposite procedure volte ad attuare i principi di cui al D. Lgs. 196/2003 in materia di privacy,. Le stesse impediscono ai soggetti che utilizzano strumenti informatici l’accesso a banche dati non connesso alle effettive necessità legate alla funzione aziendale svolta. Inoltre la Società organizza periodici corsi di formazione e aggiornamento in materia di trattamenti dei dati al fine di formare e sensibilizzare in merito all’importanza di accessi a dati e strumenti altrui solo nel rispetto dei diritti e della riservatezza altrui.
I medesimi principi sono attuati nel trattamento da parte della Società dei dati e degli strumenti in uso ai dipendenti.
41. PRINCIPI PROCEDURALI SPECIFICI
Le metodiche di controllo interno del sistema informativo della Società si deve basare sui seguenti fattori:
la gestione delle abilitazioni avviene tramite la definizione di “profili abilitativi”, ai quali corrispondono le necessarie abilitazioni in ragione delle funzioni svolte all’interno della Società;
le variazioni alle abilitazioni sono eseguite dalla funzione Sistemi Informativi ,a cui compete il presidio della sicurezza logica della rete informatica, su richiesta del Responsabile delle varie Strutture interessate che devono comunque garantire che le abilitazioni informatiche richieste corrispondano alle mansioni lavorative ricoperte;
ogni utente ha associato un profilo abilitativo in relazione al proprio ruolo aziendale nel rispetto del principio del minimo privilegio. In caso di trasferimento o di modifica dell’attività dell’utente, viene attribuito il profilo abilitativo corrispondente al nuovo ruolo assegnato.
Le attività di implementazione e modifica dei software, gestione delle procedure informatiche, controllo degli accessi fisici, logici e della sicurezza del software sono demandate alla funzione Sistemi Informativi, a garanzia della corretta gestione e del presidio continuativo sul processo di gestione e utilizzo dei sistemi informativi.
Le attività di gestione ed utilizzo di sistemi informativi della Società sono soggette ad attività di controllo a garanzia della tracciabilità delle modifiche apportate alle procedure informatiche, della rilevazione degli utenti che hanno effettuato tali modifiche e di coloro che hanno effettuato i controlli sulle modifiche apportate.
Le principali attività di controllo a carico della funzione Sistemi Informativi sono le seguenti:
verifica della necessità dell’utilizzo di password, al fine di limitare gli accessi al sistema e di controllare gli accessi alle applicazioni;
revisione dei profili abilitativi;
monitoraggio degli accessi e dell’utilizzo delle risorse da parte degli utenti dei sistemi informatici;
Rev. 10 del:
27.05.2021
MODELLO 231
Pag.138 di 272
protezione dei server e delle postazioni fisse e portatili contro potenziali attacchi esterni attraverso l’utilizzo di sistemi anti-intrusione e di software antivirus costantemente aggiornati;
esecuzione di operazioni di backup periodico dei dati (attraverso nastri, cdrom, ecc.) al fine di evitare perdite di dati;
predisposizione di specifici ambienti informatici per lo sviluppo ed il test del software distinti dall’ambiente di produzione utilizzato dagli utenti;
installazione del software nelle postazioni fisse e portatili e nei server ad esclusiva cura degli addetti dei Sistemi Informativi;
verifica delle violazioni di sicurezza.
Al fine di poter effettuare una valutazione complessiva, la Società richiede alla funzione Sistemi Informativi di relazionare periodicamente in merito all’attività svolta.
Il processo decisionale, con riferimento all’attività di gestione e utilizzo di sistemi informatici, è garantito dalla completa tracciabilità:
tutte le operazioni correttive effettuate tramite sistema (ad esempio rettifiche contabili, variazioni dei profili utente, ecc.) sono tracciabili attraverso la sistematica registrazione degli eventi (sistema di log files);
al fine di consentire la ricostruzione delle responsabilità e delle motivazioni delle scelte effettuate, ciascuna Struttura è responsabile dell’archiviazione e della conservazione della documentazione di competenza prodotta anche in via telematica o elettronica.
Le Strutture della Società, a qualsiasi titolo coinvolte nelle attività di gestione e utilizzo di sistemi informativi, sono tenute ad osservare le modalità esposte nel presente Modello, le disposizioni di legge esistenti in materia, le disposizioni interne nonché le eventuali previsioni del Codice Etico della Società.
In particolare:
ogni dipendente è responsabile del corretto utilizzo delle risorse informatiche a lui assegnate (es. personal computer fissi o portatili), che devono essere utilizzate esclusivamente per l’espletamento della propria attività. Tali risorse devono essere conservate in modo appropriato e la Società dovrà essere tempestivamente informata di eventuali furti o danneggiamenti;
qualora sia previsto il coinvolgimento di soggetti terzi nell’interrogazione dei dati forniti dalla Pubblica Amministrazione, i contratti con tali soggetti devono contenere apposita dichiarazione di conoscenza della normativa di cui al D.Lgs. 231/2001 e di impegno al suo rispetto;
la corresponsione di onorari o compensi a collaboratori o consulenti informatici esterni eventualmente coinvolti è soggetta ad un preventivo visto rilasciato dalla funzione Sistemi Informativi, competente a valutare la qualità della prestazione e la conseguente congruità del corrispettivo richiesto; comunque non è consentito riconoscere compensi in favore di collaboratori o consulenti esterni che non trovino adeguata giustificazione in relazione al tipo di incarico da svolgere o svolto.
In ogni caso è fatto divieto di porre in essere/collaborare/dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate ai fini del D.Lgs.
231/2001 e, più in particolare, a titolo meramente esemplificativo e non esaustivo, è fatto divieto di utilizzare strumenti software e/o hardware atti ad intercettare, falsificare, alterare il contenuto di documenti informatici.
Rev. 10 del:
27.05.2021
MODELLO 231
Pag.139 di 272
I Responsabili delle varie Strutture sono tenuti a porre in essere tutti gli adempimenti necessari a garantire l’efficacia e la concreta attuazione dei principi di controllo e di comportamento descritti nel presente protocollo.
Nell’ottica di favorire una più efficace prevenzione dei Delitti informatici e trattamento illecito dei dati, si prevede l’inserimento nei contratti stipulati da ASCIT SpA con partner e consulenti industriali, commerciali, finanziari, nazionali ed esteri, di apposita dichiarazione delle controparti con cui si dichiara di:
essere a conoscenza del D.Lgs. 231/2001 e delle sue implicazioni per la società;
non essere mai stati rinviati a giudizio per i reati nello stesso contemplati;
impegnarsi a rispettare pienamente la normativa in materia di Delitti informatici e trattamento illecito dei dati;
non porre in essere, nell’ambito dell’espletamento delle proprie attività, tutti quei comportamenti che possono integrare le fattispecie di reato di cui all’art. 24 bis del D. Lgs.
231/01 a carico di ASCIT, nonché comportamenti che, sebbene non intenzionalmente rivolti a commettere un illecito, siano tali da costituire potenzialmente gli eventi delittuosi di cui alle norme sopra richiamate.
Infine, deve essere contenuta specifica clausola risolutiva espressa come conseguenza delle violazioni da parte degli stessi delle norme di cui al D.Lgs. 231/2001, oltre alla richiesta di eventuale risarcimento danni.
42. CONTROLLI DELL’ORGANISMO DI VIGILANZA
L’Organismo di Vigilanza effettua periodicamente controlli a campione sulle attività connesse ai
«processi sensibili» diretti a verificare la corretta esplicazione delle stesse in relazione alle regole di cui al presente Modello.
A tal fine, all’Organismo viene garantito libero accesso a tutta la documentazione aziendale rilevante così come previsto nella Parte Generale del Modello 231.
Inoltre, l’Organismo di Vigilanza può attivarsi con specifici controlli a seguito delle segnalazioni ricevute, secondo quanto riportato nella Parte Generale del Modello 231.
In particolare è compito dell’Organismo di Vigilanza:
f)
Verificare l’adeguatezza e l’effettiva applicazione di quanto previsto nella presente Parte speciale;g)
Verificare l’attuazione di meccanismi sanzionatori qualora si accertino violazioni delle prescrizioni;h)
esaminare eventuali segnalazioni specifiche provenienti dagli organi di controllo o da terzi o da qualsiasi esponente aziendale, ed effettuare gli accertamenti ritenuti necessari od opportuni in conseguenza delle segnalazioni ricevute.Rev. 10 del:
27.05.2021
MODELLO 231
Pag.140 di 272
ASCIT SPA
MODELLO 231
Modello di organizzazione e controllo ex D. Lgs. 231/2001
PARTE SPECIALE
f) Reati contro la personalità individuale
EX ART. 25 quinquies D. Lgs. N. 231/2001
Rev. 10 del:
27.05.2021
MODELLO 231
Pag.141 di 272
Sommario
1. I REATI CONTRO LA PERSONALITÀ INDIVIDUALE ...141 2. ATTIVITA’ A RISCHIO ...143 3. PRINCIPI GENERALI DI COMPORTAMENTO ...143 4. PRINCIPI PROCEDURALI SPECIFICI ...144 5. CONTROLLI DELL'OdV ...145