SEZIONE I: DELITTI IN MATERIA DI VIOLAZIONE DEL DIRITTO D’AUTORE
2. Processi sensibili
In relazione alle condotte criminose sopra esplicitate l’attività ritenuta più specificamente a rischio è la gestione dei contenziosi giudiziali e in particolare la gestione dei rapporti con soggetti che possono avvalersi della facoltà di non rispondere nel processo penale.
Modello di Organizzazione Gestione e Controllo ex D. Lgs. 231/2001
119
Sono indicati di seguito i principi di comportamento che, insieme a quelli declinati nel codice etico, devono essere rispettati da tutti i dipendenti.
E’ fatto divieto a carico di tutti i Destinatari di:
1) porre in essere, collaborare o dare causa alla realizzazione di comportamenti tali che - considerati individualmente o collettivamente - integrino, direttamente o indirettamente, la fattispecie di reato considerata;
2) prendere contatti con dipendenti o terzi coinvolti in procedimenti penali, allo scopo di indurli a rendere dichiarazioni atte ad evitare l’eventuale rischio di un coinvolgimento della società;
3) porre in essere atti di minaccia o altre forme analoghe di coartazione ovvero di dare o promettere elargizioni in danaro o altre forme di utilità affinché il soggetto (dipendente o terzo) coinvolto in un procedimento penale non presti una fattiva collaborazione al fine di rendere dichiarazioni veritiere, trasparenti e correttamente rappresentative dei fatti o non esprima liberamente le proprie rappresentazioni dei fatti, esercitando la propria facoltà di non rispondere attribuita dalla legge, in virtù delle suddette forme di condizionamento.
In particolare, nel corso di procedimenti giudiziari, è fatto divieto di:
1) elargire somme di denaro ai soggetti coinvolti quali testimoni nel procedimento penale;
2) offrire omaggi e regali alle figure coinvolte come testimoni in un procedimento penale o a loro familiari, o a conferire loro qualsiasi forma di utilità che possa influenzare la testimonianza o impedirla, ostacolarla o indurre a false dichiarazioni in fase di dibattimento per assicurare un qualsivoglia vantaggio per l’azienda;
3) accordare altri vantaggi di qualsiasi natura (promesse di assunzione, promozione, ecc.) alle persone coinvolte quali testimoni in un procedimento penale, o loro familiari;
4) effettuare alle persone coinvolte quali testimoni in un procedimento penale qualsiasi tipo di pagamento in contanti o in natura.
Modello di Organizzazione Gestione e Controllo ex D. Lgs. 231/2001
120
SEZ. H – REATI AMBIENTALI
Tra i reati contemplati all’art. 25 undecies del Decreto, quello teoricamente configurabile è il reato di attività di gestione illecita dei rifiuti di cui all’art. 256 del D. Lgs. 152/06.
Attività di gestione di rifiuti non autorizzata (D. Lgs. 152/06 art. 256)
La fattispecie punisce chi effettua una attività di raccolta, trasporto, recupero, smaltimento, commercio ed intermediazione di rifiuti in mancanza della prescritta autorizzazione.
Net Insurance potrebbe incorrere nel suddetto reato per concorso, rivolgendosi a ditte non autorizzate per lo smaltimento dei rifiuti (speciali non pericolosi) prodotti negli uffici (toner, apparecchiature elettriche ed elettroniche fuori uso RAEE ecc.).
Al fine di gestire i rifiuti prodotti in conformità alle norme di legge si adottano i seguenti presidi:
o E’ nominato un responsabile, all’interno dell’unità organizzativa che fa capo al Chief Operating Officer, con il compito di vigilare sullo smaltimento degli stessi attraverso ditte autorizzate
o In fase di definizione contrattuale con tali ditte è verificato il possesso di tutte le autorizzazioni del caso
o Negli uffici sono chiaramente individuate e allestite aree di deposito temporaneo dei rifiuti.
o Qualsiasi anomalia è tempestivamente comunicata all’Organismo di Vigilanza.
In caso di interventi di manutenzione e ristrutturazione dell’edificio, di proprietà di Net Insurance, la Società prevede nei contratti con i fornitori clausole che attribuiscono a questi la responsabilità per lo smaltimento dei rifiuti prodotti. In particolare nei contratti è espressamente indicato che i fornitori si impegnano a smaltire i rifiuti prodotti dalle attività di manutenzione/ristrutturazione secondo la normativa vigente.
Modello di Organizzazione Gestione e Controllo ex D. Lgs. 231/2001
121
SEZIONE I: DELITTI IN MATERIA DI VIOLAZIONE DEL DIRITTO D’AUTORE
Premessa
La presente Parte Speciale è suddivisa nei seguenti paragrafi:
1. Reati e modalità di commissione; contiene la descrizione di alcune delle fattispecie criminose rilevanti richiamate dall’art. art. 25 novies e delle modalità di commissione delle stesse;
2. Ruoli e responsabilità interne; individua i ruoli e le responsabilità interne a presidio dei rischi.
3. Aree sensibili e protocolli; individua le aree sensibili alla commissione dei reati e richiama i protocolli di prevenzione adottati.
1. Reati e modalità di commissione
Tra i delitti in violazione del diritto d’autore richiamati dall’art. 25 novies (, si richiamano quelli che potrebbero configurarsi nella realtà aziendale.
Messa a disposizione del pubblico, in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, di un’opera d’ingegno protetta, o di parte di essa (L.
633/1941, art. 171, comma 1°, lettera a – bis e comma 3°)
La fattispecie punisce la messa a disposizione del pubblico, attraverso l’immissione in un sistema di reti telematiche e con connessioni di qualsiasi genere, di un’opera di ingegno protetta o di parte di essa e la messa a disposizione del pubblico, attraverso l’immissione in un sistema di reti telematiche e con connessioni di qualsiasi genere, di un’opera di ingegno non destinata alla pubblicità, ovvero con l’usurpazione della paternità dell'opera, ovvero con deformazione, mutilazione o altra modificazione dell'opera medesima, qualora ne risulti offesa all'onore od alla reputazione dell'autore.
Tale disposizione tutela sia l'interesse patrimoniale dell'autore dell'opera, che potrebbe vedere lese le proprie aspettative di guadagno in caso di libera circolazione della propria opera in rete, sia il suo onore e la sua reputazione.
Tale reato potrebbe ad esempio essere commesso nell’interesse della società qualora venissero caricati sul sito internet aziendale dei contenuti coperti dal diritto d'autore.
Riproduzione, trasferimento su altro supporto, distribuzione, comunicazione, presentazione o dimostrazione in pubblico del contenuto di una banca dati; estrazione o reimpiego della banca dati; distribuzione, vendita o concessione in locazione di banche di dati (L. 633/1941, art. 171-bis comma 2°)
Modello di Organizzazione Gestione e Controllo ex D. Lgs. 231/2001
122
Il reato in ipotesi si configura nel caso in cui chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla SIAE.
Il fatto è punito anche se la condotta ha ad oggetto qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a protezione di un programma per elaboratori. Il secondo comma punisce inoltre chiunque, al fine di trarne profitto, su supporti non contrassegnati SIAE riproduce, trasferisce su altro supporto, distribuisce, comunica, presenta o dimostra in pubblico il contenuto di una banca di dati ovvero esegue l'estrazione o il reimpiego della banca di dati ovvero distribuisce, vende o concede in locazione una banca di dati.
Tale reato potrebbe ad esempio essere commesso nell’interesse della società qualora venissero utilizzati, per scopi lavorativi, programmi non originali ai fine di risparmiare il costo derivante dalla licenza per l'utilizzo di un software originale.
2. Ruoli e responsabilità interne
I ruoli interni a presidio dei rischi sono:
Chief Operating Officer
Digital Platform
IT e Organizzazione
CISO
CSO.
3. Aree sensibili e protocolli adottati
In relazione alle fattispecie individuate nella presente sezione sono state individuate come aree sensibili:
1. tutte le attività aziendali svolte tramite l’utilizzo dei sistemi Informativi aziendali, la posta elettronica e internet;
2. la gestione dei sistemi informativi aziendali al fine di assicurarne il funzionamento e la manutenzione;
3. l’utilizzo di software e banche dati;
4. la gestione dei contenuti dei siti internet.
Modello di Organizzazione Gestione e Controllo ex D. Lgs. 231/2001
123
Si premette che i protocolli di prevenzione dei reati descritti nella Sezione F - Delitti di criminalità informatica e trattamento illecito dei dati del presente Modello estendono la loro valenza anche per la prevenzione dei delitti in materia di violazione del diritto d’autore in quanto:
a) i delitti informatici e i quelli in violazione del diritto d’autore presuppongono l’utilizzo di risorse informatiche e le aree di rischio risultano in parte sovrapponibili;
b) i protocolli di prevenzione hanno come finalità comune quella di sensibilizzare i destinatari sul corretto utilizzo delle risorse informatiche.
Al fine di prevenire delitti in violazione del diritto d’autore, è fatto divieto di:
1) connettere ai sistemi informatici societari pc, periferiche, altre apparecchiature o installare software senza la preventiva autorizzazione del responsabile individuato;
2) installare software in violazione delle licenza d’uso e, in generale, di tutte le leggi che tutelano il diritto d'autore;
3) acquisire e/o utilizzare prodotti protetti da diritto d'autore in violazione delle tutele contrattuali previste per i diritti di proprietà intellettuale altrui;
4) divulgare o condividere con personale interno o esterno a Net Insurance le proprie credenziali di accesso ai sistemi e alla rete aziendale;
5) manomettere, sottrarre o distruggere il patrimonio informatico aziendale, comprensivo di archivi, dati e programmi;
6) sfruttare vulnerabilità o inadeguatezze nelle misure di sicurezza dei sistemi informatici aziendali, per ottenere l’accesso a risorse o informazioni diverse da quelle cui si è autorizzati ad accedere;
7) accedere abusivamente al sito internet della Società per manomettere o alterare abusivamente qualsiasi dato in esso contenuto o per immettervi dati in violazione della normativa sul diritto d'autore;
8) comunicare a persone non autorizzate i controlli implementati sui sistemi informativi e le modalità con cui sono utilizzati;
9) mascherare, oscurare o sostituire la propria identità e inviare e-mail riportanti false generalità o inviare intenzionalmente e-mail contenenti virus o altri programmi in grado di danneggiare o intercettare dati;
10) inviare attraverso un sistema informatico aziendale qualsiasi informazione o dato, previa alterazione o falsificazione dei medesimi.
Il Chief Operating Officer, in collaborazione con IT e Organizzazione:
Modello di Organizzazione Gestione e Controllo ex D. Lgs. 231/2001
124
1) prevede alle attività di informazione, formazione e addestramento periodico, sull’utilizzo corretto dei software e sui rischi derivanti da un utilizzo improprio delle risorse informatiche aziendali;
2) cura la protezione di ogni sistema informatico societario al fine di prevenire l'illecita installazione di dispositivi in grado di intercettare le comunicazioni relative ad un sistema informatico o telematico, o intercorrenti tra più sistemi, ovvero capace di impedirle o interromperle;
3) prevede l’autenticazione con credenziali alle quali corrisponda un profilo limitato della gestione di risorse di sistema, specifico per ognuno dei dipendenti;
4) garantiscce limiti di accesso alla rete informatica aziendale dall'esterno, adottando e mantenendo sistemi di autenticazione diversi o ulteriori rispetto a quelli predisposti per l'accesso interno dei dipendenti.
Il Chief Operating Officer, con il supporto di IT e Organizzazione ha inoltre il compito di:
a) monitorare centralmente in tempo reale, in collaborazione con le Direzioni/Funzioni interessate, lo stato della sicurezza operativa delle varie piattaforme di processo e gestionali, attraverso strumenti diagnostici e coordinare le relative azioni di gestione;
b) monitorare centralmente in tempo reale i sistemi anti-intrusione e di controllo degli accessi ai siti aziendali e gestire le autorizzazioni;
c) gestire il processo di identificazione e autorizzazione all’accesso alle risorse informatiche aziendali.
Tutti i dipendenti sono tenuti a informare i loro responsabili, che dovranno riferire all'ODV, fatti o circostanze che configurano violazioni delle norme in violazione del diritto d’autore.
Modello di Organizzazione Gestione e Controllo ex D. Lgs. 231/2001
125
Sezione L –IMPIEGO DI CITTADINI DI PAESI TERZI IL CUI SOGGIORNO E’ IRREGOLARE
La presente sezione è suddivisa nelle seguenti parti:
1. Reati e modalità di commissione: contiene la descrizione delle fattispecie criminose rilevanti richiamate dall’art. 25 duodecies del Decreto.