PDF Stampa E-mail

 

Delitti informatici e trattamento illecito dei dati

I nuovi reati-presupposto disciplinati dall'art. 24-bis del D.Lgs. 231/01 non superano il vaglio del Legislatore

(31 Ottobre 2013)

Nulla di fatto per la conversione del comma 2 art. 9 del Decreto Legge 14 agosto 2013, n. 93, recante: "Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province", la norma che avrebbe introdotto sostanziali modifiche al nostro sistema sanzionatorio. In particolare, con riferimento ai reati in materia di privacy nel campo della responsabilità amministrativa delle imprese, l'art. 9 del D. L. 93/2013 (dal titolo: "Frode informatica commessa con sostituzione d'identità digitale") avrebbe modificato l'art. 640-ter del Codice Penale, prevedendo un aggravamento delle pene nel caso in cui il reato di frode informatica fosse stato commesso con "sostituzione dell'identità digitale".

Per ciò che compete il Decreto Legislativo 231/2001, l'art. 9 del D.L. 93/2013, avrebbe dovuto aggiornare il catalogo dei reati-presupposto previsti dall'art. 24-bis (intitolato "Delitti informatici e trattamento illecito dei dati") aggiungendo all'elenco:

- Frode informatica con sostituzione d'identità digitale (art. 640-ter c.p.);

- Indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento (art. 55, comma 9 del D.Lgs. 231/2007);

- Trattamento illecito di dati (art. 167 del D.Lgs. 196/2003).

La Corte Suprema di Cassazione, Ufficio del Massimario, si espresse già a suo tempo sull'argomento attraverso la "Relazione in tema di novità legislative n. III/01/2013" del 22 agosto 2013. La Suprema Corte, considerò quale scopo dell'intervento normativo quello di implementare la tutela dell'identità digitale al fine di aumentare la fiducia dei cittadini nell'utilizzo dei servizi on-line e porre un limite al fenomeno delle frodi realizzate mediante il furto d'identità: "il legislatore punisce, quindi, più gravemente le frodi realizzate mediante l'accesso abusivo al sistema informatico e l'indebito utilizzo dell'identità digitale altrui, prevedendo in tali casi la pena della reclusione da 2 a 6 anni (in luogo della precedente: da 6 mesi a 3 anni) e una multa da 600 euro fino a 3.000 euro".

Alla luce di quanto detto sopra, è necessario considerare che sebbene i reati di "frode informatica aggravata dalla sostituzione dell'identità digitale" ed i reati di "indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento", non apparissero destinati ad assumere particolare rilevanza in sede applicativa, stesso discorso non poteva valere nel caso dei delitti in materia di violazione della privacy, i quali risultavano invece di grande impatto, soprattutto per la configurazione della responsabilità da reato degli enti per l'illecito trattamento dei dati, violazione potenzialmente in grado di interessare l'intera sfera delle società commerciali e delle associazioni private soggette alle disposizioni del D.Lgs. 231/2001.

L'inosservanza di detti obblighi da parte dell'ente avrebbe comportato per lo stesso: l'interdizione dall'esercizio dell'attività, la sospensione o la revoca di autorizzazioni, licenze o concessioni o il divieto di pubblicizzare beni o servizi.

Inoltre, l'inserimento dei sopraindicati illeciti al catalogo dei reati presupposto previsti dal D. Lgs. 231/2001, avrebbe comportato in capo agli enti dei pesanti costi in termini di aggiornamento dei rispettivi modelli organizzativi, tra i principali: il dover redigere o integrare (qualora fosse già stato presente) il Modello organizzativo privacy con il Modello 231 adottato dalla società nell’ambito dei reati presupposto conosciuti (oltre al dover adottare un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nei modelli citati); questo naturalmente, avrebbe richiesto la previsione di nuovi protocolli interni diretti a programmare la formazione e l’attuazione delle decisioni dell’ente (in relazione ai reati da prevenire), con la necessità di creare nuovi flussi di informazione integrati tra l’Organismo di Vigilanza (OdV), il Privacy Officer (o il Referente Privacy Aziendale) e la funzione di Internal Auditing, per consentire l’esercizio del controllo e delle verifiche interne in nome e per conto del Titolare (responsabile, ricordiamo, della culpa in vigilando) nei confronti di manager e dipendenti. A quanto detto fino ad ora, si aggiunga la previsione di una sanzione pecuniaria compresa tra i 200 ed i 700 mila euro per la mancata o inidonea correzione dei modelli organizzativi ex D. Lgs. 231/2001.

Kensington Consulting Srl

Dott. Salvatore Sabbio

 

 

 
free pokerfree poker

Ultime notizie

[01-10-2013] Delitti informatici e trattamento illecito dati - Art. 24-bis

Readmore..

[19-07-2013] Reati contro la Pubblica Amministrazione - Normativa anti-corruzione

Readmore..

[13-09-2012] Responsabilità amministrativa solo in presenza di gravi indizi

Readmore..

[06-03-2013] Reati Ambientali - Art. 25 undecies D. Lgs. 231/2001

Readmore..

[18-09-2012] Funzioni di Organismo di Vigilanza per Collegio sindacale, Consiglio di sorveglianza e Comitato per il controllo della gestione

Readmore..

[09-07-2010] L’applicazione del Decreto Legislativo 231/2001 al settore sanitario: profili di rischio e novità legislative

Readmore..

[01-10-2012] Decreto Legislativo 231/2001 in relazione al Decreto Legislativo 231/2007

Readmore..

[20-04-2011] Caso clinica San carlo: La Sezione Penale del tribunale di Milano assolve gli otto imputati con formula piena

Readmore..

[01-04-2011] Linee guida regionali (Lombardia) per l'adozione del codice etico e dei modelli di organizzazione...

Readmore..

[09-07-2011] Holding soggette agli obblighi 231 Il Sole 24 Ore - sabato 9 luglio 2011 - pagina 27

Readmore..