Protocolli interni di comportamento, prevenzione e controllo – procedure specifiche di controllo

L’utilizzo e la gestione di sistemi informatici e del patrimonio informativo sono attività imprescindibili per l’espletamento del business aziendale e contraddistinguono molti dei processi di BATTAGLIO. Tra i sistemi informativi utilizzati dall’azienda vi sono altresì hardware e software per l’espletamento di adempimenti verso la Pubblica Amministrazione che prevedano il ricorso a specifici programmi forniti dagli stessi Enti, ovvero la connessione diretta con gli stessi. Si rendono quindi necessarie un’efficace definizione di norme e misure di sicurezza organizzative, comportamentali e tecnologiche e la realizzazione di attività di controllo, peculiari del presidio a tutela di una gestione e di un utilizzo dei sistemi informatici e del patrimonio informativo aziendale in coerenza con la normativa vigente.

I soggetti interessati sono:

− i destinatari del presente Modello che, a qualunque titolo, direttamente o indirettamente, utilizzano sistemi informativi aziendali per l’espletamento della propria attività lavorativa in favore della BATTAGLIO.

Protocolli interni di comportamento, prevenzione e controllo

Alla luce delle considerazioni che precedono, di seguito si declinano i principi e le regole sui quali si basa il presidio posto in essere sulla gestione e sull’utilizzo dei sistemi informatici e del patrimonio informativo aziendale. Oltre a rispettare i protocolli di comportamento e gli altri componenti di prevenzione controllo generale interno (in particolare Codice Etico e Criteri di Condotta), i soggetti summenzionati devono:

• osservare rigorosamente tutte le norme poste dalla legge e dalle procedure aziendali interne in merito alla sicurezza dei sistemi informativi della Società ed al trattamento di qualsivoglia dato personale;

• astenersi dal porre in essere, collaborare o dare causa alla realizzazione di comportamenti tali che, presi individualmente o collettivamente, integrino,

Modello di organizzazione, gestione e controllo

(ex D. lgs. n. 231/2001) 172 BATTAGLIO S.p.A.

direttamente o indirettamente, le fattispecie previste nell’ambito dei delitti informatici e trattamento illecito di dati (art. 24-bis del D. Lgs. 231/2001);

• impegnarsi a non rendere pubbliche tutte le informazioni loro assegnate per l’utilizzo delle risorse informatiche e l’accesso a dati e sistemi;

• attivare ogni misura ritenuta necessaria per la protezione del sistema, evitando che terzi possano avere accesso allo stesso in caso di allontanamento dalla postazione (uscita dal sistema o blocco dell’accesso tramite password);

• astenersi dal porre in essere qualsivoglia comportamento che possa mettere a rischio la riservatezza e/o l’integrità dei dati aziendali;

• non intraprendere azioni atte a superare le protezioni applicate ai sistemi informative aziendali; non installare alcun programma, anche se attinente all’attività aziendale, senza aver prima interpellato il Responsabile di Funzione;

• non utilizzare connessioni alternative rispetto a quelle messe a disposizione dall’Azienda per l’espletamento della propria attività lavorativa;

• non accedere in maniera non autorizzata ai sistemi informativi di terzi, né alterarne in alcun modo il loro funzionamento, al fine di ottenere e/o modificare, senza diritto, dati, programmi o informazioni;

• non utilizzare i sistemi informativi aziendali per l’attuazione di comportamenti suscettibili di integrare fattispecie di concorrenza sleale nei confronti dei competitors di BATTAGLIO o, più in generale, di qualsivoglia altra persona fisica/giuridica.

• astenersi dal detenere e utilizzare abusivamente codici, parole chiave o altri mezzi idonei all’accesso al sistema informatico o telematico al fine di acquisire informazioni riservate.

• astenersi dallo svolgere tramite Internet attività che comportano download di contenuti offensivi, minacce o comportamento violento, attività illecite, sollecitazione di carattere commerciale (estranee all’attività aziendale); in ogni caso è fatto espresso divieto di connessione, e conseguente consultazione, navigazione, streaming ed estrazione mediante downloading, a siti web che siano da considerarsi illeciti alla luce delle disposizioni organizzative interne in argomento (e quindi, a titolo esemplificativo, siti che presentino contenuti contrari alla morale, alla libertà di culto ed all’ordine pubblico, che comportino violazione della privacy di persone fisiche e giuridiche, che promuovano o appoggino movimenti terroristici o sovversivi, riconducibili ad attività di pirateria informatica, ovvero che violino le norme dettate in materia di copyright e di proprietà intellettuale);

• utilizzare le informazioni, le applicazioni e le apparecchiature esclusivamente per motivi di ufficio;

• non lasciare incustodita, prestare o cedere a terzi qualsiasi apparecchiatura informatica affidata in dotazione;

• segnalare alle funzioni competenti il furto, il danneggiamento o lo smarrimento di tali strumenti; inoltre, qualora si verifichi un furto o si smarrisca un’apparecchiatura informatica di qualsiasi tipo, l’interessato, o chi ne ha avuto consegna, dovrà far pervenire alla funzione competente l’originale della denuncia all’Autorità di Pubblica Sicurezza;

• evitare di introdurre e/o conservare in Società (in forma cartacea, informatica e mediante utilizzo di strumenti della Società), a qualsiasi titolo e per qualsiasi ragione, documentazione e/o materiale informatico di natura riservata e di proprietà di terzi, salvo se acquisiti con il loro espresso consenso;

• evitare di trasferire all’esterno della Società e/o trasmettere file, documenti, o qualsiasi altra documentazione riservata di proprietà della Società stessa, se non

Modello di organizzazione, gestione e controllo

(ex D. lgs. n. 231/2001) 173 BATTAGLIO S.p.A.

per finalità strettamente attinenti allo svolgimento delle proprie mansioni e, comunque, previa autorizzazione del proprio Responsabile;

• evitare l’utilizzo di password di altri utenti della Società, neanche per l’accesso ad aree protette in nome e per conto dello stesso, salvo espressa autorizzazione della funzione competente;

• astenersi dall’uso di Internet, Intranet e Posta Elettronica per motivi personali e non riconducibili alle funzioni aziendali;

• utilizzare la connessione a Internet per gli scopi e il tempo strettamente necessario allo svolgimento delle attività che hanno reso necessario il collegamento;

• rispettare le procedure e gli standard previsti, segnalando senza ritardo alle funzioni competenti eventuali utilizzi e/o funzionamenti anomali delle risorse informatiche;

• impiegare sulle apparecchiature della Società solo prodotti ufficialmente acquisiti dalla Società stessa;

• astenersi dall'effettuare copie non specificamente autorizzate di dati e di software;

• astenersi dall’utilizzare gli strumenti informatici a disposizione al di fuori delle prescritte autorizzazioni;

• osservare ogni altra norma specifica riguardante gli accessi ai sistemi e la protezione del patrimonio di dati e applicazioni della Società;

• osservare scrupolosamente quanto previsto dalle politiche di sicurezza della Società per la protezione e il controllo dei sistemi informatici;

• astenersi dal configurare apparecchi informatici personali quali PC, Tablet o dispositivi similari per l’accesso alla rete aziendale di BATTAGLIO, senza la preventiva autorizzazione da parte della Funzione responsabile.

BATTAGLIO, inoltre, al fine di proteggere i propri sistemi informativi ed evitare, per quanto possibile, il proprio coinvolgimento in attività suscettibili di concretizzare uno o più delitti informatici o di trattamento illecito di dati, adotta le seguenti procedure di comportamento e controllo specifiche:

• governance dei sistemi informativi aziendali improntata al rispetto degli standard di sicurezza attiva e passiva, volti a garantire l’identità degli utenti e la protezione, la confidenzialità, l’integrità e la disponibilità dei dati;

• accesso ai sistemi informativi solo previa opportune identificazione da parte dell’utente, a mezzo username e password assegnati originariamente dall’azienda;

• modifica periodica della suddetta password, a seconda della frequenza di utilizzo e della criticità dei dati cui si accede per mezzo di quella password;

• definizione delle modalità di cambiamento della password, anche a seguito del primo accesso, con sistema che impedisce l’utilizzo di password già utilizzate;

• registrazione dei singoli accessi ai sistemi informatici interni e realizzazione di un sistema di tracciabilità delle operazioni effettuate;

• verifica costante della coincidenza tra i poteri assegnati al profilo utente e le sue mansioni all’interno dell’azienda, sia nei casi in cui un soggetto venga adibito a differenti attività, sia in caso di conclusione del rapporto di lavoro;

• monitoraggio, con frequenza periodica, di tutti gli accessi e le attività svolte sulla rete aziendale;

• adozione di un sistema di collegamento dall’esterno alla rete aziendale

Modello di organizzazione, gestione e controllo

(ex D. lgs. n. 231/2001) 174 BATTAGLIO S.p.A.

BATTAGLIO tramite WPN crittografata, riservato a soggetti autorizzati attraverso l’inserimento in un gruppo specifico per l’esercizio di tale facoltà;

• formazione in maniera adeguata di ogni risorsa sul corretto utilizzo degli strumenti informatici, anche a cura dell’IT Manager, e sui comportamenti da tenere per garantire la sicurezza dei sistemi informativi e sulle possibili conseguenze, anche penali, che possono derivare dalla commissione di un illecito.

Nel rispetto del principio generale della segregazione delle funzioni, BATTAGLIO nomina un Information Technology Manager a cui sono delegate la funzione di responsabile dei servizi IT e della gestione, manutenzione ed esercizio dei sistemi informativi all'interno dell'azienda e di amministratore di rete. La delega, che formalizza l’incarico, deve contenere apposita clausola con cui l’IT Manager dichiara di conoscere il contenuto del D.Lgs. n. 231/2001 e si impegna ad astenersi da comportamenti idonei a configurare le ipotesi di reato di cui al Decreto (a prescindere dalla effettiva consumazione del reato o dalla punibilità dello stesso). Deve inoltre contenere la previsione che, in caso di inosservanza da parte sua di tale impegno, l’incarico potrà essere revocato per inadempimento grave e potrà anche essere motivo di risoluzione del contratto di lavoro subordinato ai sensi delle disposizioni applicabili in materia.

Le principali mansioni dell’IT Manager comprendono: il controllo del corretto funzionamento di software antivirus, antispam e per la security, la configurazione di nuove macchine e apparecchiature, il garantire il funzionamento delle infrastrutture informatiche e la corretta gestione del database aziendale, la pianificazione di progetti di miglioramento dei sistemi ICT, lo sviluppo dei progetti IT dell’azienda, la redazione di procedure funzionali e l’identificazione delle esigenze organizzative e il controllo del corretto utilizzo degli strumenti informatici da parte del personale e terzi autorizzati.