I Reati, qui di seguito considerati, trovano come presupposto l’utilizzo degli strumenti informatici software e hardware nonché la gestione di dati, programmi, sistemi operativi, navigazione Internet attraverso i quali possono essere realizzate condotte illegali di criminalità informatica.
14.1 FATTISPECIE DI REATO
Al fine di divulgare la conoscenza degli elementi essenziali delle singole fattispecie di reato punibili, ai sensi dell'art. 24 - bis del D.lgs. n. 231/2001, si rinvia all’Allegato n. 1 e si elencano qui di seguito i Reati ritenuti rilevanti.
• Documenti informatici (art. 491-bis c.p.).
• Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.)
• Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater) Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies)
• Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.)
• Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617quinquies c.p.)
85/ 154
• Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis)
• Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.)
• Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.)
• Danneggiamento di sistemi informatici o telematici di pubblica utilità (art.
635quinquies c.p.)
• Frode informatica del certificatore di firma elettronica (art. 640- quinquies).
14.2 ATTIVITA’ SENSIBILI
Attraverso l’analisi dei Processi della Società, così come descritta nella Parte Generale, sono state individuate le seguenti Attività Sensibili, nel cui ambito potrebbero astrattamente realizzarsi le fattispecie di reato richiamate dall'art. 24 - bis del D.lgs. n. 231/2001:
• creazione di account per l’accesso ai sistemi informatici aziendali;
• attribuzione di password di accesso ai sistemi informatici aziendali;
• gestione delle password;
• abilitazione all’accesso, manutenzione e custodia delle password di sistemi informatici;
• utilizzo dei pc aziendali; • accesso alla rete aziendale;
• manutenzione dei pc (interventi periodici e straordinari), programmazione di sistemi informatici personalizzati; adattamento/aggiornamento;
• gestione dei programmi software per elaboratore e per le attività produttive;
• inserimento, gestione, elaborazione ed archiviazione dei dati contabili immessi nei sistemi informatici aziendali;
• gestione dati e informazioni riservate;
• gestione delle attività relative alla sicurezza informatica;
• attività di back-up e gestione in caso di disaster recovering;
• cancellazione di account di utenti non più nell’organico aziendale;
• comunicazioni telematiche o informatiche dirette alla Pubblica Amministrazione;
• predisposizione, modificazione, trasmissione, archiviazione e custodia di dati, informazioni o documenti per via o su supporto telematico o informatico;
• utilizzo dei sistemi di navigazione Internet.
86/ 154
14.3 REGOLE GENERALI DI COMPORTAMENTO
Con riferimento ai Reati informatici la Società ed i Destinatari devono ispirare le proprie attività alle seguenti Regole Generali di Comportamento:
1) tutti i Destinatari devono utilizzare le informazioni, le applicazioni e le apparecchiature esclusivamente per motivi d'ufficio;
2) è vietato installare programmi sui pc aziendali senza essere autorizzati dalla Direzione;
3) è vietato mettere in atto azioni al fine di eludere i sistemi di sicurezza dei sistemi informatici della Società;
4) è vietato accedere nei sistemi informatici di Terzi, alterarne il loro funzionamento, al fine di ottenere e/o modificare, senza diritto, dati, programmi o informazioni;
5) tutti i Destinatari si devono astenere dal porre in essere qualsivoglia comportamento che possa mettere a rischio la riservatezza dei dati aziendali
6) tutti i Destinatari devono impegnarsi a non rendere pubbliche le informazioni in loro possesso per l’utilizzo delle risorse informatiche e l’accesso a dati e sistemi (es. username e password);
7) tutti i Destinatari devono rispettare le norme interne relative alla gestione e l’utilizzo dei sistemi informatici di I.C.E.C. – Casa di Cura Villa Maria Immacolata - S.r.l;
8) l'accesso abusivo da parte di Terzi deve essere inibito attraverso idonei sistemi di protezione (es. scadenze e modifica periodica password, codici accesso alfanumerici con un numero minimo di caratteri, blocco automatico del pc in caso di non uso, etc.);
9) i contratti, che hanno ad oggetto la fornitura di servizi informatici, devono essere definiti per iscritto, in tutte loro condizioni e termini e contenere clausole standard al fine del rispetto del D.Lgs. 231/2001;
10) i sistemi informatici aziendali sono improntati nel rispetto degli standard di sicurezza idonei a garantire l’identità degli utenti, la protezione, la confidenzialità, l’integrità e la disponibilità dei dati;
11) l’accesso alla rete da remoto deve essere preventivamente autorizzata dalla Direzione;
12) La Direzione comunica alla società di consulenza informatica le assunzioni e la risoluzione dei rapporti dipendenti in modo da attivare e disattivare le utenze;
13) deve essere fornita ai dipendenti adeguata formazione sui comportamenti da tenere per garantire la sicurezza dei sistemi informatici e sul trattamento dei dati con riferimento alla normativa Privacy;
14) gli utenti sono individuati attraverso credenziali dell’utente e password o altro sistema di autenticazione;
87/ 154
15) è vietato utilizzare password in nome e per conto di altri utenti aziendali, salvo espressa autorizzazione;
16) gli incidenti ricorrenti devono essere analizzati e risolti dalla società di consulenza informatica;
17) è vietato trasferire all'esterno di I.C.E.C. – Casa di Cura Villa Maria Immacolata - S.r.l e/o trasmettere files, documenti o qualsiasi altra documentazione riservata di proprietà della Società, se non per finalità strettamente attinenti allo svolgimento delle proprie mansioni e, comunque, previa autorizzazione della Direzione.
14.4 ISTRUZIONI E VERIFICHE DELL’ODV
I compiti di vigilanza dell’OdV in relazione all’osservanza del Modello per quanto concerne i Reati di criminalità informatica sono i seguenti:
a) definire idonee istruzioni sugli atteggiamenti da assumere nell’ambito delle attività “a rischio”;
b) con riferimento alle attività di gestione di database, l’OdV provvede a:
c) monitorare l’efficacia delle procedure interne al fine della prevenzione del reato;
d) esaminare le eventuali segnalazioni specifiche provenienti dagli organi di controllo o da qualsiasi dipendente ed effettuare gli accertamenti ritenuti necessari od opportuni in conseguenza delle segnalazioni ricevute.
88/ 154