Sommario:

1. Premessa: la trasformazione digitale dal business alla compliance - 2. La cybersecurity come responsabilità di governance - 3. Cyber Risk Management Model e compliance integrata: tra normative di settore, best practices e sistemi di certificazione - 4. Risk Assessment e Risk Management nel modello PDCA (Plan-Do-Check-Act) - 5. Il raccordo con la prevenzione dei “reati informatici-fine” e dei “reati informatici-mezzo” nei modelli organizzativi ex d.lgs. n. 231/2001 - 6. (in particolare) I protocolli di comportamento sulla gestione del­l’attac­co informatico - NOTE

Ab origine, secondo la definizione di Norbert Wiener del 1948, la cibernetica indicava lo studio del controllo e della (auto)regolazione della macchina tramite la trasmissione e l’elaborazione di informazioni provenienti dall’esterno, sino a concretizzarsi poi nelle infrastrutture di difesa delle reti dalle interferenze altrui nelle fasi della creazione, conservazione, invio e ricezione di comunicazioni potenzialmente esposte al rischio di furti, danneggiamenti, interruzione o indirizzamento errato secondo i noti standard di disponibilità, confidenzialità e integrità (C.I.A.). Oggi la sicurezza informatica esprime, per lo più, in modo unitario gli strumenti di tutela (locali, di hardware o software) dei sistemi di elaborazione dati da possibili violazioni, sottrazioni o modifiche non autorizzate sempre più rilevanti a causa del loro utilizzo massivo, anche sul versante geopolitico ed economico, tramite la diffusione dei dispositivi “intelligenti” (smart, piattaforme o app) che costituiscono il c.d. “Internet of things (IoT)” [1] e, non da ultimo, possibili strumenti di aggressione alla stessa sicurezza nazionale come dimostrano gli interventi nel settore del­l’intelligence e della difesa [2]. A livello aziendale, la trasformazione digitale – accentuata, per un verso, dalla diffusione dell’industria e del web 4.0 in cui vengono continuamente estrapolati dati dalle [continua ..]

» Per l'intero contenuto effettuare il login inizio

Da tempo e sotto diversi profili la cybersecurity rinvia a competenze e responsabilità di corporate governance, coinvolgendo scelte strategiche sul versante sia infrastrutturale sia organizzativo. La valutazione del crescente impatto economico-finanziario e reputazionale di un attacco informatico costituisce, invero, la “ragion pratica” della verticalizzazione delle responsabilità per la sicurezza che non dipende più solo dalla implementazione di soluzioni tecniche ma anche e soprattutto dalla progettazione di policy trasversali alle singole business unit e richiede scelte precise in termini di gestione dei rapporti con eventuali aggressori interni (dirigenti, dipendenti o consulenti infedeli) o esterni (hacker esperti o semplici esploratori), denuncia o meno alle competenti autorità e comunicazione interna alle funzioni operative o di controllo [9]. In un simile contesto, è proprio la pericolosità di inside o outside attacks a richiedere l’attivazione di garanzie da parte di chi – creando un proprio metaverso nell’ambito di un cyberspazio privo di confini, accessibile a tutti, coperto da anonimato e con informazioni circolanti in modo permanente [10] – può finire col danneggiare l’azienda che gestisce come i suoi stessi “utenti-avatar”: il cyber-individuo deve cioè farsi carico, al vertice dell’organizzazione, del controllo sulle tecnologie e sulle [continua ..]

» Per l'intero contenuto effettuare il login inizio

Per strutturare un adeguato modello di Cyber Risk Management a supporto del board in risposta alle sfide derivanti dal cambiamento tecnologico e dalla moltiplicazione dei rischi di attacchi informatici è possibile attingere ai diversi standard desumibili dalle normative di settore e dalle best practices internazionali. Si consideri, da un lato, la direttiva NIS n. 1148/2016 o i d.P.C.M. sul perimetro di sicurezza nazionale cibernetica [16] che, anche per le imprese che non rientrano nel relativo campo di applicazione, possono offrire un catalogo di indicazioni circa l’adozione delle misure tecnico/organizzative finalizzate a prevenire e minimizzare l’impatto di incidenti cyber ovvero il contenuto dei modelli organizzativi ex d.lgs. n. 231/2001 o degli adempimenti imposti dal Regolamento 679/2016 (GDPR) rispetto alle quali la cybersecurity costituisce, in effetti, un “presidio comune” [17]. Dall’altro, alla certificazione ISO 27001 relativa all’Information Security Management System (ISMS) a garanzia della riservatezza, integrità e disponibilità delle informazioni ovvero alla ISO 22301 sulla continuità operativa. Di particolare rilievo, come accennato, è il sistema di procedure e controlli introdotto dal d.l. 21 settembre 2019, n. 105 (convertito con la legge 18 novembre 2019, n. 133) sul perimetro di sicurezza nazionale cibernetica “al fine di assicurare un livello elevato di sicurezza [continua ..]

» Per l'intero contenuto effettuare il login inizio

Il punto di partenza è la mappatura dei processi interni con selezione di quelli strategici, di supporto e di core (o critici) dai quali dipende la sopravvivenza operativa dell’organizzazione. A questi corrisponde l’individuazione degli asset strategici a supporto oggetto di un assessment volto a identificare e ponderare i rischi endogeni ed esogeni correlati sia in termini tecnici che di compliance mediante la combinazione di indicatori e score in grado di ottenere un quadro completo del livello di rischio dell’azienda e implementare un Proactive Cyber Risk Management costituito da modelli predittivi e analitici ciclicamente sottoposti a monitoraggio e riesame secondo un approccio PCDA (Plan-Do-Check-Act). In particolare, può evidenziarsi la necessità di: a) identificare i ruoli e le responsabilità del trattamento dei dati, nonché delle informazioni e i relativi principi di classificazione dei soggetti coinvolti con particolare attenzione ai rapporti con informatici outsourcer, con i quali sarà altresì opportuno definire clausole contrattuali relative alla qualifica e al controllo sulla gestione delle misure di sicurezza onde prevenire possibili addebiti per culpa in eligendo o in vigilando; b) assicurare un’adeguata protezione delle apparecchiature incustodite; c) garantire il corretto e sicuro funzionamento degli elaboratori di informazioni, la protezione da software pericolosi, il backup di dati e [continua ..]

» Per l'intero contenuto effettuare il login inizio

Da ultimo, per quanto più d’interesse penalistico, il modello di cybersecurity si interseca con la prevenzione della criminalità informatica la cui disciplina risulta, ancora una volta, dal combinato disposto di normative nazionali (legge n. 547/1993, legge n. 48/2008 e infine legge n. 238/2021) [26] e vincoli comunitari diretti – per lo più in seguito all’introduzione col Trattato di Lisbona della materia nelle competenze dell’Unione di cui all’art. 83 TFUE quantomeno per serious crimes having a cross border dimension – a ravvicinare il diritto penale degli Stati membri nel settore degli attacchi contro i sistemi di informazione imponendo di punire la fabbricazione, la vendita, l’approvvigionamento per l’uso, l’importazione, la distribuzione o la messa a disposizione in altro modo intenzionali di determinati strumenti (programmi per computer o password o codici d’accesso o simili), con l’intenzione di utilizzarli per realizzare accessi o interferenze illecite a sistemi di informazione [27]: anche la criminalizzazione di comportamenti prodromici o comunque incentrati sul pericolo presunto costituisce, infatti, strumento funzionale alla costruzione di uno spazio di sicurezza esteso alla rete. In particolare, non può non tenersi conto di come l’ente si organizzi al fine di evitare la contestazione della responsabilità amministrativa di cui al d.lgs. n. 231/2001 [continua ..]

» Per l'intero contenuto effettuare il login inizio

Di specifico impatto, altresì, i protocolli di comportamento in caso di attacco informatico estorsivo, in termini di divieto di adesione, blocchi interni alla raccolta e all’utilizzo di denaro e denuncia alle competenti autorità. A prescindere, infatti, dalla contrarietà del pagamento ai principi del proprio codice etico, ove realizzato nell’interesse dell’ente (ad esempio per comprare un silenzio e recuperare credibilità evitando migrazione della clientela, riduzione delle revenue e consequenziale abbassamento del valore delle azioni della società), esso potrebbe, di per sé, integrare determinati reati-presupposto ex d.lgs. n. 231/2001: da quelli di natura societaria ex art. 25-ter (ove la somma risulti pagata attraverso un indebito utilizzo di provvista sociale o non contabilmente tracciata) o di (auto)ri­ciclaggio (ove si impieghino fondi di illecita provenienza) ex art. 25-octies sino a quelli di criminalità organizzata ex art. 24-ter (in considerazione della condotta tenuta durante l’attacco informatico e per la risoluzione di esso, dell’entità e delle modalità di corresponsione del riscatto e del livello di collaborazione prestato con l’autorità giudiziaria nazionale e internazionale) [35]. Un’ulteriore conferma del fatto che la cybersecurity aziendale si articola ormai in un più livelli tra loro intrinsecamente connessi e interdipendenti, [continua ..]

» Per l'intero contenuto effettuare il login inizio

[1] Sull’impatto delle nuove tecnologie e della rete sulla società si rinvia, in particolare, ai lavori monografici di Castells, The Internet Galaxy. Reflections on the Internet, Business, Society, Oxford, 2001, p. 58; Baldwin, La grande convergenza. Tecnologia informatica, Web e nuova globalizzazione, Bologna, 2018, p. 29 ss.; Floridi, La quarta rivoluzione. Come l’infosfera sta trasformando il mondo, Milano, 2017. [2] Si pensi, solo per fare un esempio, al Cybersecurity Maturity Model Certification (CMMC), rilasciato a gennaio 2021 dal Dipartimento della Difesa degli Stati Uniti (DoD) quale standard unificato per l’implementazione della sicurezza informatica in tutta la base industriale della difesa (DIB). [3] Cfr. Baffi, Il canale informatico per le segnalazioni del whistleblower in ambito 231, in La Responsabilità amministrativa delle società e degli enti, 2, 2020, p. 262 ss. Si pensi ora alla piattaforma ANAC e ai canali di segnalazione interna, anche tramite strumenti di crittografia, ora previsti dall’art. 4 dello schema di decreto legislativo approvato dal Consiglio dei Ministri in data 9 dicembre 2022 recante Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle [continua ..]

» Per l'intero contenuto effettuare il login inizio