Basic HTML Version
20
NUMERO 205 - GENNAIO / FEBBRAIO 2012
IL COMMERCIALISTA VENETO
una pratica applicazione
taylor made
a ciascun caso
aziendale, altre sono peculiari degli specifici settori di
business
di appartenenza.
Ponendo il
focus
della presente analisi sulle aziende a
vocazione principalmente produttiva e/o commercia-
le, operanti nei diversi settori economici (alimentare,
chimico, costruzioni, trasporti, ecc.), le normative di
carattere generale cui fare riferimento sono, fondamen-
talmente, quelle relative a:
a)
protezione dei dati personali;
b)
salute e sicurezza nei luoghi di lavoro;
c)
tutela dell’ambiente.
Ciascuna delle tematiche citate trova un suo principa-
le punto di riferimento in un “sistema unico” di nor-
me, al quale, tuttavia, si affiancano tutta una serie di
altre disposizioni - di legge o di altra fonte - di cui
tenere conto, fino a generare un “insieme complesso”
di disposizioni da rispettare da parte delle società.
In particolare i riferimenti principali sono, rispettiva-
mente:
a)
D. Lgs. n. 196/2003, recante norme per la “Pro-
tezione di dati personali”;
b)
D. Lgs. n. 81/2008, recante norme per la “Tu-
tela della salute e sicurezza nei luoghi di lavoro”;
c)
D. Lgs. n. 152/2006, recante norme “In mate-
ria ambientale”.
Sotto il profilo organizzativo, quindi, come di seguito
evidenziato, le aziende hanno dovuto tener conto di tre
“insiemi complessi” di disposizioni per adottare (o ten-
tare di farlo!) tre sistemi organizzativi di
compliance
alle stesse: in taluni casi l’adeguamento alle disposi-
zioni è avvenuto tramite percorsi di “certificazione”,
ossia facendo riferimento a
best practice
(
standard
),
per lo più di livello internazionale
7
.
3) I reati informatici e il ruolo
della tecnologia in azienda
Una nota di approfondimento merita sin d’ora il ruolo
della tecnologia (ICT
8
) in azienda rispetto alla defini-
zione ed efficace attuazione del ModelloOrganizzativo,
ciò in quanto la sua rilevanza non risulta limitata esclu-
sivamente alla prevenzione dei cosiddetti “reati infor-
matici”, così come individuati dall’art. 24 bis del D.Lgs.
n. 231/2001, ma si estende, da un lato, anche alla pre-
venzione di altri reati per espressa volontà del legisla-
tore, dall’altro, alla realizzazione concreta di “mecca-
nismi di controllo” idonei a prevenire, in linea genera-
le, vari reati presupposto.
Con riguardo alla rilevanza di una corretta gestione
degli strumenti informatici – e più in generale – del
sistema informatico per la prevenzione di specifici
reati, è immediato il riferimento alla “frode informati-
ca in danno dello Stato o di un ente pubblico” (art. 24
del D.Lgs. n. 231/2001 e art. 640 ter c.p.), reato che
rientra nella più ampia categoria dei cosiddetti “reati
contro la Pubblica Amministrazione”, costituita dal
raggruppamento concettuale delle tipologie di reato di
cui agli articoli 24 e 25 del decreto
9
.
Analoga rilevanza “strumentale” della tecnologia in
relazione alla possibilità di commettere reati (o, di
contro, prevenirli) emerge dall’art. 25 undecies del
D.Lgs. n. 231/2001, in materia di “reati ambientali”,
solo laddove si considerino tutte le attività rilevanti
connesse all’utilizzo (a regime) del sistema centraliz-
zato SISTRI.
Entrambi gli esempi di cui sopra si riferiscono a reati
che, per definizione, vengono commessi proprio at-
traverso l’utilizzo di strumenti informatici o, più am-
piamente, nello svolgimento di attività che presup-
pongono l’utilizzo di strumenti/sistemi informatici
propri e di terzi.
Con riguardo, invece, alla generale possibilità di pre-
venire anche reati diversi da quelli tipicamente “infor-
matici”, è intuitiva, per chiunque abbia esperienza in
ambito aziendale, la rilevanza della corretta gestione
del sistema informatico per la prevenzione dei reati di
cui all’art. 25 ter dello stesso decreto, articolo dedica-
to ai “reati societari”.Ad oggi, la maggior parte dei dati
e delle informazioni utili per la formazione del bilancio
d’esercizio e, in generale, di tutto il
reporting
aziendale
risiede e viene elaborata tramite strumenti tecnologici,
il cui grado di evoluzione (e di integrazione) varia in
ragione delle diverse caratteristiche aziendali. La rego-
la della
segregation of duties
costituisce, in linea gene-
rale, un caposaldo nella corretta progettazione dei si-
stemi di controllo: non a caso essa è uno dei riferimenti
fondamentali sia per la gestone della “sicurezza” di
uno strumento/sistema informatico, sia per la corretta
definizione delle procedure dell’area amministrativo-
contabile
10
.
Con riferimento all’art. 25 septies del D.Lgs. n. 231/
2001 (reati commessi con violazione delle norme sulla
tutela di salute e sicurezza sul lavoro), è altresì usuale
che le aziende gestiscano procedure, dati ed informa-
zioni relativi al personale attraverso strumenti infor-
matici che risultano tanto più “evoluti” quanto mag-
giormente critica e complessa è la gestione di tali aspetti
in relazione alla specifica attività svolta dall’azienda.
Tramite strumenti informatici vengono effettuate
rilevazioni (es. registrazioni relative ad infortuni, ac-
caduti o potenziali, o a malattie professionali), vengo-
no elaborate informazioni (es. statistiche d’infortunio
o malattia, individuazione di indici significativi ed ana-
lisi dei loro
trend
nel tempo) e, in taluni casi, vengono
pianificate e gestite le azioni e le informazioni relative
alla necessaria formazione obbligatoria in materia (es.
gestione scadenze,
e-learning
).
E’ evidente come gli strumenti informatici, in linea
generale, non solo costituiscano un potentissimo stru-
mento per l’efficacia e l’efficienza dei processi opera-
tivi ma, se correttamente progettati ed utilizzati, pos-
sano altresì garantire ai soggetti tenuti ad assumere
decisioni la tempestiva disponibilità di dati ed infor-
mazioni: in pratica, ad oggi, essi risultano indispensa-
bili per garantire al vertice aziendale la possibilità di
assumere decisioni efficaci ed efficienti sotto il profilo
organizzativo, nonchè informate e “corrette” sotto il
profilo giuridico.
Effettuata questa doverosa premessa esemplificativa
sul ruolo “trasversale” svolto in azienda dalla tecnolo-
gia (ICT), tanto da costituire un presidio organizzativo
e di controllo fondamentale per la realizzazione di alcu-
ni reati – nonché, specularmente, per la loro prevenzio-
ne - diventa molto più agevole comprendere anche la
particolare attenzione specificamente garantita dal legi-
slatore ai “delitti informatici e trattamento illecito di
dati” di cui all’art. 24 bis del D.Lgs. n. 231/2001.
Le fattispecie di reati informatici rilevanti sono con-
nesse, ad esempio, ai seguenti “elementi” o comporta-
menti dannosi relativi a sistemi, strumenti, dati, infor-
mazioni, programmi (informatici): danneggiamento (da
intendersi, in senso lato, anche come “non funziona-
mento” e/o “interruzione del servizio”), accesso abu-
sivo dannoso e cattura abusiva di credenziali di acces-
so, compromissione (impedimento o interruzione) di
comunicazioni (informatiche o telematiche).
I comportamenti citati possono realizzarsi ad opera di
soggetti esterni o interni alla struttura aziendale (es.
terzi, fornitori ICT, personale interno) e possono es-
sere evitati, in una logica prevenzionistica, agendo an-
zitutto secondo criteri organizzativi di corretta attri-
buzione di ruoli (es. autorizzazioni e privilegi d’acces-
so, gestione contrattuale) e di definizione di procedure
e, in secondo luogo, attraverso un’azione diretta (di
natura tecnica) sugli strumenti, attuata in linea con le
suddette determinazioni organizzative. Ciò che indi-
rettamente emerge dalla lettura delle norme, quindi, è
la necessità di attuare un “sistema” organizzativo e
tecnico per la prevenzione dei reati-presupposto.
La necessità di un approccio “sistemico” alla gestione
di dati, informazioni, strumenti e sistemi informatici o
telematici aziendali era già emersa inmodo chiaro dalle
disposizioni di cui al citato D.Lgs. n. 196/2003, pure
essendo le stesse specificamente orientate alla tutela
nel trattamento di “dati personali”.
Utile anche evidenziare che, nei contesti aziendali più
evoluti e/o più sensibili al valore strategico della com-
ponente tecnologica, data l’integrazione di processo e
le caratteristiche degli strumenti ICT in uso, la
compliance
al D.Lgs. n. 196/2003 è stata da subito
affrontata secondo una “visione d’insieme” ed è stata,
di fatto, estesa a ricomprendere la tutela di tutte le
informazioni aziendali e non solo dei dati personali.
Uno stimolo in tal senso è certamente derivato anche
dal naturale “istinto” imprenditoriale alla tutela della
riservatezza di tutte le informazioni aziendali afferenti
il
core business
.
La citata normativa, in ogni caso, ha trovato la sua
massima espressione organizzativa (attestandosi ben
oltre quanto richiesto dal dato normativo) nei contesti
aziendali in cui la stessa è stata addirittura vissuta
come un percorso strategico verso la realizzazione di
un vero e proprio sistema di
governance
del sistema
informatico (e, più in generale, informativo) aziendale,
sistema presidiato da un
ICT manager
ad elevata com-
petenza organizzativa, oltre che tecnica, certificato o
meno secondo
standard
di livello internazionale
11
.
Alla luce di quanto sopra esposto, pertanto, è eviden-
te come l’adeguamento alla disposizioni di cui al D.Lgs.
n. 196/2003 - in linea generale, ed a prescindere dalla
dimensione aziendale - secondo un approccio sistemico,
integrato e multidisciplinare, possa costituire un otti-
mo presupposto per la successiva progettazione del
Sistema 231, che, tuttavia, dovrà poi orientarsi speci-
ficamente alla prevenzione dei reati rilevanti, con par-
ticolare attenzione all’adozione di idonei protocolli.
Non solo. Un corretta politica di
governance
del si-
stema informatico aziendale complessivamente inteso
(nelle sue due componenti: infrastruttura e portafo-
glio applicativo), effettuata alla luce degli
standard
e
delle
best practice
riconosciute a livello internaziona-
le, non potrà che agevolare tale percorso.
In ogni caso, e ferma restando la necessità di valutare
adeguatamente ciascuna specifica realtà aziendale, è
altamente probabile che qualsiasi Modello
Organizzativo che “trascuri” un’approfondita analisi
del sistema informatico condotta, non solo, con la pe-
culiare finalità di scongiurare i reati informatici ma,
anche e soprattutto, nella logica di “trasversalità” e
“strumentalità” dello stesso rispetto anche ad altre
tipologie di reato, non potrà che rivelarsi un Modello
intrinsecamente fragile.
Infine, altrettanto fragile e poco integrato nei processi
operativi aziendali, potrà essere considerato un Mo-
dello che non preveda espressamente tra i meccanismi
o presìdi di controllo posti a prevenzione dei reati
rilevanti (non solo informatici) meccanismi e procedu-
re di natura prettamente tecnologica (controlli
automatizzati).
4) I reati connessi alla tutela
di “salute e sicurezza nei luoghi di lavoro”
Altro ambito di operatività aziendale di cui tener con-
to nella “progettazione” del Modello Organizzativo è,
certamente, quello relativo all’adeguamento alle dispo-
sizioni di legge in materia di “tutela della salute e sicu-
rezza nei luoghi di lavoro”.
Mentre, come sopra evidenziato, in materia di “prote-
zione dei dati personali” la necessità per l’azienda di
procedere alla
compliance
al D.Lgs. n. 196/2003
se-
condo un approccio di tipo “sistemico” viene desunta
in via sostanzialmente indiretta - dalla lettura delle
disposizioni di legge ma, soprattutto, dalle
best practice
internazionalmente definite ed applicate in tema di
Una
compliance
di secondo livello
SEGUE DA PAGINA 19
SEGUE A PAGINA 21
7
Il riferimento immediato è ai cosiddetti standard di matrice ISO e/o BSI.
8
Information and Communications Technology.
9
Il reato si connette al comportamento di chi alteri in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenga senza diritto con qualsiasi modalità
su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti.
10
Più in generale, di tutti i processi aziendali, secondo le logiche dello SCI (Sistema di Controllo Interno) e, più ampiamente, dell’ERM (Enterprise Risk Management).
11
I riferimenti principali sono agli standard BS 7799, ISO 17799 e ISO 27001.