I NUOVI REATI FONTE DI RESPONSABILITA’ EX D. LGS. 231/2001

di Carlo CAVALLO

Avvocato in Torino


Articolo comparso sulla rivista BancaFinanza (ottobre 2013)150123-banca_finanza

 

Nella Gazzetta Ufficiale n. 191 del 16/8/2013 è stato pubblicato il decreto legislativo n. 93/13, contenente disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, che ha ampliato l’ambito dei reati che determinano la responsabilità amministrativa dell’ente ai sensi del D. Lgs. n. 231/2011, così di fatto riconfermando ed evidenziando (e quindi di fatto avvertendo…!) la assoluta importanza di provvedere ogni ente di idoneo “modello organizzativo” rivolto a prevenire la possibilità di commissione di reati da parte dei dipendenti.

In particolare l’art. 9 del citato D. L. n. 93/2013 ha introdotto una circostanza aggravante del delitto di frode informatica nel caso in cui il fatto venga commesso con sostituzione dell’identità digitale in danno di uno o più soggetti. La pena prevista è pesante: da due a sei anni di reclusione e da 600 a 3.000 euro di multa.

L’identità digitale è l’insieme delle informazioni e delle risorse che l’utilizzatore di un sistema informatico ha a disposizione, in virtù del possesso di dati a lui attribuiti in via esclusiva.

Scopo dell’intervento normativo è implementare e rafforzare, ed ulteriormente assicurare la tutela dell’identità digitale al fine di aumentare la fiducia nell’utilizzazione dei servizi on-line e porre un argine al fenomeno delle frodi realizzate (soprattutto nel settore del credito al consumo) mediante il furto di identità. In definitiva l’intento del legislatore è quello di punire più gravemente le frodi realizzate mediante l’accesso abusivo al sistema informatico grazie all’indebito utilizzo dell’identità digitale altrui.

Il decreto in esame (93/2013) ha provveduto ad inserire – all’art. 24 bis del d. lgs. n. 231/2001 – il menzionato reato di frode informatica aggravato dalla sostituzione dell’identità digitale nell’elenco dei reati presupposto della responsabilità degli enti, nei quali ha altresì aggiunto quelli di:

– indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento di cui all’art. 55 comma 9 del d. lgs. n. 231/2007, nonché i delitti

– in materia di violazione della privacy previsti dal d. lgs. n. 196/2003 e cioè le fattispecie A) di trattamento illecito dei dati (art. 167), B) di falsità nelle dichiarazioni notificazioni al Garante (art. 168) e C) di inosservanza dei provvedimenti del Garante (art. 170).

Se i primi due aggiornamenti del catalogo non paiono destinati ad assumere particolare rilevanza in sede applicativa, il terzo risulta invece di grande impatto, soprattutto per la configurazione della responsabilità da reato degli enti per l’illecito trattamento dei dati, violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del d.lgs. n. 231/2001.

Il caso del trattamento illecito presuppone che il trasgressore ne abbia tratto profitto e che la violazione abbia prodotto un «nocumento». Ad esempio, l’avere trattato dati senza il necessario consenso sarà una condizione oggettiva di punibilità, ma occorrerà dimostrare anche che dal fatto ne sia derivata una effettiva lesione all’interessato.

Le ipotesi di false dichiarazioni e notificazioni al Garante suscitano preoccupazioni: si immagini un’azienda che — convenuta innanzi al Garante in sede di ricorso — dichiari il falso affermando, ad esempio, di aver rilasciato un’informativa orale nel corso di una telefonata promozionale. In tal caso, del delitto risponderà anche la società ai sensi del decreto 231.

Analogamente, nel caso di inosservanza dei provvedimenti del Garante, vi sarà responsabilità 231 da parte dell’azienda che ometta di adempiere a un provvedimento dell’Authority che, ad esempio, abbia disposto il blocco di uno o più trattamenti o abbia prescritto misure necessarie a rendere il trattamento conforme.

Ciò che emerge, in conclusione, è che non ci si potrà limitare ad atteggiamenti puramente formali, ritenendosi al riparo per avere eseguito qualche adempimento.

Invece, per poter essere in regola con le nuove norme evitando di incorrere in sanzioni pesantissime per gli enti appare indispensabile ed urgente non solo l’immediata predisposizione di un idoneo modello organizzativo, ma eventualmente, qualora esso sia già predisposto, che il medesimo venga strutturato in aderenza alle esigenze concrete ed attuali della normativa a tutela della privacy, garantendo un livello di sicurezza adeguata.