L’emergenza pandemica Covid-19 ha travolto la dimensione aziendale italiana incrementando gli oneri di risk management gravanti sulle aziende, sotto molteplici profili. Tra le varie tipologie di rischi da fronteggiare vi è, certamente, quello penale.
La pandemia ha fatto sì che l’azienda si imbattesse in rischi cosidetti indiretti che, per quanto conosciuti o conoscibili dall’impresa, nel periodo pre-pandemico erano generalmente sottovalutati (se non ignorati) dalle realtà aziendali.
In particolare, al di là dell’evidente aumento di rischi per la salute e la sicurezza sul lavoro a causa dei potenziali contagi all’interno dei locali aziendali, il sempre più indispensabile ricorso a strumenti di lavoro telematico ha senz’altro aumentato il rischio di commissione di illeciti penali a sfondo informatico (individuati tra i reati presupposto previsti dall’art. 24-bis del D. Lgs. 231/2001 in materia di responsabilità amministrativa da reato), con conseguente possibilità per l’impresa di essere assoggettata a sanzioni pecuniarie e interdittive.
Del resto, la diffusione dello smart working ha comportato una maggior vulnerabilità dei sistemi informatici aziendali, derivante principalmente dall’accesso da una serie di computer e dispositivi non protetti o, comunque, più deboli perché inseriti in un contesto meno difendibile quale è quello domestico.
Altra fonte di preoccupazione per le aziende (oltre alla già richiamata possibilità che vengano applicate sanzioni quali interdizione dall’esercizio dell’attività, sospensione o revoca delle autorizzazioni, divieto di contrattare con la Pubblica Amministrazione nonché esclusione da agevolazioni, contributi o sussidi) è la circostanza che la stessa responsabilità possa essere loro imputata anche qualora – come spesso accade in questi casi – l’autore materiale del reato rimanga ignoto. Tale circostanza non consente all’organo giudicante, infatti, di percepire le motivazioni di quest’ultimo, determinando, talvolta, un’attribuzione di responsabilità in capo all’azienda anche quando l’autore del reato abbia agito per fini esclusivamente personali e non nell’interesse del suo datore di lavoro.
Di fronte a tale nuovo scenario l’azienda è inevitabilmente costretta a studiare delle strategie preventive idonee, da un lato, ad impedire la commissione di reati informatici al suo interno e, dall’altro, ad evitare che possano verificarsi danni sia primari (tempo e risorse necessarie a intervenire sul sistema attaccato e a ripristinare le funzionalità), sia secondari (si pensi all’influenza negativa sull’immagine aziendale).
Deve evidenziarsi, poi, come il fronte di attacco più frequente sia quello esterno, proveniente cioè dagli “outsiders” (soggetti esterni al sistema), individuabile con maggior facilità e contrastabile soprattutto implementando le contromisure tecnologiche e fornendo un’adeguata formazione ai collaboratori chiamati, per mansione, ad utilizzare strumenti tecnologici e connessi.
Il fronte di attacco degli “insiders” invece, è meno evidente e più insidioso e può comportare ingenti danni al funzionamento e al patrimonio aziendale: gli utenti interni che per i motivi più disparati e che rappresentano il bacino di utenza maggiore del patrimonio informativo dell’organizzazione potrebbero teoricamente eseguire, con facilità, operazioni proibite quali frodi, furto di informazioni, cancellazione o alterazione di dati e utilizzazione di sistemi informatici per scopi privati.
In prospettiva, dunque, è fondamentale che le aziende provvedano a contenere i richiamati rischi, anche dotandosi di un Modello di organizzazione, gestione e controllo (“MOGC”) al fine di agire in ottica preventiva, a seguito di un’attività di risk assessment specifica svolta con l’ausilio del consulente.
È, poi, fondamentale che siano previsti presidi di controllo, sia generali sia specifici, da recepire puntualmente nel Modello 231 a tutela delle funzioni e dei processi aziendali eventualmente individuati come “a rischio” (installazione di una rete VPN, adesione a standard internazionali di sistemi di gestione della sicurezza e delle informazioni, costanti flussi informativi tracciabili tra l’ente e l’Organismo di Vigilanza, ecc.).
Va rammentato, infine, che i reati informatici non possono essere prevenuti esclusivamente attraverso misure tecniche, ma con un approccio olistico nei confronti della sicurezza fisica, logistica e organizzativa tramite, ad esempio, un’adeguata informativa ai dipendenti sulla dotazione degli strumenti informatici e sui relativi presidi adottati, la segregazione di funzioni e un limitato accesso ai sistemi, nonché tramite opportuni corsi di formazione da somministrare al personale.
La compliance aziendale, in sostanza, si sta rivelando uno strumento indispensabile per la naturale prosecuzione dell’attività di impresa la cui regolarità, per il contesto storico e normativo, è costantemente in divenire: in tal senso, il Modello “231” e il sistema di conformità di cui è portatore si stanno sempre di più rivelando una tra le più valide forme di prevenzione del rischio e, di conseguenza, di protezione da eventuali danni.
