L a Legge 90/2024, pubblicata il 2 luglio 2024, introduce significative modifiche nel campo della cybersicurezza e dei reati informatici in Italia. In risposta all’evoluzione della criminalità informatica, la legge prevede l’inasprimento delle pene e l’ampliamento del dolo specifico, introducendo nuove circostanze aggravanti.
Le principali modifiche riguardano l’innalzamento delle sanzioni pecuniarie previste dal Decreto 231/2001 per i reati informatici, da 500 a 700 quote. Inoltre, è stata eliminata la norma riguardante la “Detenzione, diffusione e installazione abusiva di apparecchiature” e sostituita con una più severa analoga, così come introdotte sanzioni pecuniarie per l’estorsione mediante reati informatici.
Per minimizzare i rischi, è opportuno che gli enti, con il supporto dei propri consulenti di compliance aziendale e con la supervisione dell’Organismo di Vigilanza, valutino gli impatti di tale aggiornamento normativo sui propri Modelli di Organizzazione e Gestione ai sensi del D. Lgs. 231/2001, nonché sul proprio Modello Privacy.
In termini operativi, nella costruzione e/o revisione del Modello organizzativo 231 e nello sviluppo di un sistema di compliance in materia di protezione dei dati, le società sono tenute a valutare i rischie le misure di controllo da implementare per contenere le minacce informatiche in un’ottica risk-based approach .
Nel dettaglio, sarà fondamentale:
- stabilire ed applicare procedure interne per assicurare la sicurezza dei sistemi informatici prevedendo, ad esempio, rigide misure di segregazione degli accessi logici, al fine di impedire a soggetti non autorizzati di accedere e manomettere (come nell’esempio della società Gamma S.r.l.) strumentazione informatica;
- implementare sistemi di monitoraggio continuo per identificare tempestivamente eventuali minacce o violazioni;
organizzare programmi di formazione per sensibilizzare i dipendenti in materia di responsabilità amministrativa degli enti con l’intento di evitare (come visto nell’esempio della società Alpha S.p.A.) che l’azione illecita di un dipendente comporti l’apertura di un procedimento ex Decreto 231 a carico della società.
In conclusione, è evidente che la compliance integrata, frutto della collaborazione tra consulenti compliance e OdV, non rappresenta solo un adempimento normativo, ma contribuisce anche a creare una cultura aziendale orientata alla sicurezza ed alla consapevolezza dei rischi digitali. L’obiettivo di un ente sano deve essere quello di superare la visione settoriale della protezione dei dati e della conformità aziendale, puntando invece alla gestione aziendale in un’ottica interdisciplinare.
Contattaci.