Introduzione.
Oggi la presenza di computer all’interno dell’azienda si rileva un’ovvietà, un bene tecnologico che non può non essere acquistato ed utilizzato per ogni sorta, o quasi, di lavoro.
La rete aziendale permette a tutti questi devices di essere simultaneamente connessi e di poter operare per conto del datore di lavoro o titolare del trattamento, se si volesse far cenno all’inquadramento giuridico fornito dal Regolamento Europeo n.679/16, al fine di poter evadere i compiti assegnati.
La capillarizzazione della rete si pone come primo punto di partenza per un ipotetico reato informatico, sia che esso provenga dall’interno che dall’esterno dell’impresa stessa. L’accessibilità esterna permette attacchi informatici dalla natura subdola, in quanto provenienti da soggetti (hacker) che non sono inquadrati nell’organigramma aziendale e l’individuazione di questi ultimi risulta spesso ostica; la commissione di questa fattispecie di reato pone il soggetto agente in un’ottica di maggiore sicurezza rispetto alla correlata probabilità punitiva, poiché vi è una minore possibilità di rintracciare l’esecutore all’interno della Rete web.
Rispetto a pochi decenni fa, il patrimonio dell’azienda è totalmente quasi dematerializzato, ovvero tutti i dati trattati e tutte le informazioni relative all’attività dell’impresa, sono ora in formato digitale che si sostituisce al formato analogico preesistente.
Si è stimato che un eventuale attacco informatico o cyber attack, possa arrecare un danno all’azienda sotto un triplice punto di vista, soprattutto quando esso provenga, invece, dall’interno della stessa impresa; l’inside attack, di cui si tratterà in seguito, comporta un ingente costo per il ripristino delle dotazioni infettate, un nocumento – di difficile quantificazione – riguardante la proporzionale diminuzione del patrimonio riconducibile all’attacco informatico; un danno lesivo della reputazione e dell’immagine dell’azienda colpita.
Sull’onda dell’esponenziale sviluppo del digitale, il legislatore ha cercato di adeguare la normativa configurando nuove fattispecie di reato informatico, soprattutto a mezzo della L. n. 547/1993. Ne consegue che se l’azienda decidesse di denunciare il delitto subito potrebbe quanto meno contare sull’effettiva possibilità di ottenere soddisfazione all’interno del processo penale cui ha dato impulso.
Inside Attack
Se il tentativo di penetrazione all’interno della rete aziendale da parte degli outsiders si contrasta implementando le misure di sicurezza e le misure tecnlogiche, come sottolinea anche il GDPR in materia, l’inside attack potrebbe essere più insidioso ed in grado di provocare i danni maggiori per l’azienda. Gli attacchi interni – insiders – provengono da soggetti che conoscono le procedure aziendali e sono in grado di aggirare le misure preventive o le contromisure preposte alla tutela del patrimonio aziendale. Il novellato D.Lgs. n. 231/01, unitamente alla L. n. 48/08, prevede che le aziende possano rispondere per la maggior parte dei reati informatici commessi dai suoi vertici e dipendenti.
La L. n. 48, infatti, estende la responsabilità amministrativa degli enti ai seguenti reati informatici:
- “falsità in un documento informatico (art. 491-bis c.p.);
- accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.);
- detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.);
- diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.);
- intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.);
- installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 615-quinquies c.p.);
- danneggiamelo di informazioni, dati e programmi informatici (art. 635-bis c.p.);
- danneggiamelo di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.);
- danneggiamelo di sistemi informatici o telematici (art. 635-quater c.p.);
- danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.);
- frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.).
Si tratta di una grande novità, poiché in ossequio al D.Lgs. n. 231/01 tale responsabilità era prevista solo per residuali ipotesi di reato informatico.