NOVITÀ PER LA RESPONSABILITÀ AMMINISTRATIVA DEGLI ENTI (di Roberto Galdino)

galdinoIl Decreto Legge 14 agosto 2013 n.93, pubblicato nella Gazzetta Ufficiale n.191 del 16 agosto 2013, che reca “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza in genere, nonché in tema di protezione civile e commissariamento delle province” ha introdotto nuove disposizioni in materia di reati contro il patrimonio, configurando nuove aggravanti dei reati di furto, rapina, ricettazione e frode informatica, introducendo anche novità in materia di responsabilità amministrativa degli enti ai sensi del D.lgs. 8 giugno 2001 n.231.

 In particolare l’art. 9 comma II del D.l. n. 93/2013 riformula l’art. 24 bis del D.lgs. 8 giugno 2001 n. 231 nel modo seguente:

Art. 24-bis, D.lgs. 8 giugno 2001 n. 231

– Delitti informatici e trattamento illecito di dati –

1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640-ter, terzo comma del codice penale nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote.

2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all’ente la sanzione pecuniaria sino a trecento quote.

3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all’ente la sanzione pecuniaria sino a quattrocento quote.

4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati

nel comma 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).

***

Il D.l. n. 93/13 ha incluso tra le fattispecie presupposto dalle quali consegue la responsabilità degli enti dotati di personalità giuridica di cui al D.lgs. 8 giugno 2001 n. 231 anche quelle previste dai seguenti reati, che vanno ad aggiungersi ai cosiddetti reati sensibili.

 ● Art. 640-ter, terzo comma, Codice Penale (Frode informatica)

1. Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.

2. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se ricorre una delle circostanze previste dal numero 1) del secondo comma dell’articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.

3. La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti.

4. Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o un’altra circostanza aggravante

 ● Art. 55, comma 9 (Sanzioni penali) D.Lgs. 21 novembre 2007, n. 231

Chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni e con la multa da 310 a 1.550 euro. Alla stessa pena soggiace chi, al fine di trarne profitto per sé o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi.

● Art. 167 (Trattamento illecito di dati) D.Lgs. 30 giugno 2003, n. 196

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

Art. 168 (Falsità nelle dichiarazioni e notificazioni al Garante) D.Lgs. 30 giugno 2003, n. 196

1. Chiunque, nelle comunicazioni di cui all’articolo 32-bis, commi 1 e 8, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. (1)

● Art. 169 (Misure di sicurezza) D.Lgs. 30 giugno 2003, n. 196

1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni.

2. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L’adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

Art. 170 (Inosservanza di provvedimenti del Garante) D.Lgs. 30 giugno 2003, n. 196

1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.

Art. 171 (Altre fattispecie) D.Lgs. 30 giugno 2003, n. 196

1. La violazione delle disposizioni di cui agli articoli 113, comma 1, e 114 è punita con le sanzioni di cui all’articolo 38 della legge 20 maggio 1970, n. 300.

L’intervento in materia di D.lgs. 8 giugno 2001 n. 231 aumenta il novero dei soggetti potenzialmente responsabili, coinvolgendo direttamente la persona giuridica nel caso di condotte e o comportamenti integranti i reati summenzionati ed imponendo una valutazione del rischio specifico ed in conseguenza di ciò l’implementazione del Modello di organizzazione, gestione e controllo di cui al D.lgs. 8 giugno 2001 n. 231.

 Modifiche che risultano avere grande impatto, soprattutto per la configurazione della responsabilità da reato degli enti per l’illecito trattamento dei dati, violazione potenzialmente in grado di interessare l’intera platea delle società commerciali, industriali, produttive, di servizi e delle associazioni private soggette alle disposizioni del D.lgs. 8 giugno 2001 n.231.

Pertanto, occorrerà provvedere:

1. all’inserimento delle nuove ipotesi di reato tra quelle previgenti;

2. alla valutazione dei rischi specifici conseguenti alle nuove condotte presupposto di responsabilità;

3. all’individuazione delle relative aree di rischio;

4. all’introduzione di procedure di prevenzione e controllo idonee ad impedire la commissione delle fattispecie presupposto tipizzanti i nuovi reati introdotti;

5. alla pianificazione di specifica attività di formazione, comunicazione ed informazione.

Collocandosi le nuove fattispecie introdotte in ambito di criminalità informatica, in prima battuta si può ipotizzare che sia necessario rivedere l’implementazione:

A. delle procedure di gestione dei sistemi informatici;

B. delle procedure di gestione della tematica “privacy”.

Con specifico riferimento alla seconda esigenza sarà utile procedere a ripristinare, ove non più esistenti, gli strumenti gestionali di primo livello previsti per il corretto trattamento dei dati quale il DPS di cui al D.lgs. n.196/2003 la cui implementazione era non era più obbligatoria a seguito delle disposizioni del c.d. decreto semplificazioni.

Eventuali ulteriori attività e presidi di controllo preventivo fra i quali gli interventi formativi  dovrebbero essere successivi all’analisi per la individuazione del relativo grado di rischio riconducibile alla specifica attività caratteristica della società interessata.

Intervento di Roberto Galdino, Amministratore di RG Consulting Sas. Pubblicista. Presidente e Membro di organismi di vigilanza (blog 231impresarobertogaldino@blogspot.it ).

Lascia un commento