INDICE
Nella nostra guida ai reati informatici in azienda abbiamo spesso esaminato i casi di responsabilità del dipendente.
La commissione di un reato dà luogo ad una responsabilità penale di tipo individuale. Ciò significa che solo l’autore dei comportamenti illeciti può essere punito dalla legge.
Vi sono però dei casi in cui del reato non risponde soltanto colui che ha agito, ma anche chi era tenuto per legge a sorvegliare il suo operato.
In particolare, nel caso di reati informatici commessi da dipendenti o amministratori di società ed enti, la legge stabilisce particolari responsabilità a carico delle organizzazioni. Queste, infatti, dovrebbero sorvegliare le attività compiute da coloro che operano nel loro interesse ed evitare che siano commessi reati a loro vantaggio.
Per questo, la legge prevede a carico delle organizzazioni una responsabilità per i reati commessi dai loro amministratori e collaboratori più stretti. Nel caso di reati commessi da queste persone, le organizzazioni possono subire conseguenze molto pesanti, che possono arrivare fino al divieto di proseguire la propria attività.
Queste sanzioni sono minacciate per fare in modo che gli enti adottino adeguati modelli di prevenzione dei reati, a tutela delle potenziali vittime. Vediamo come queste regole generali trovino applicazione anche per la responsabilità delle organizzazioni per i reati informatici commessi dall’amministratore o dal dipendente.
La responsabilità “penale” degli enti per i reati informatici del dipendente
La responsabilità di società ed associazioni, anche se privi di personalità giuridica, per i reati commessi a loro vantaggio è regolata dal decreto legislativo n. 231/2001.
Questo decreto ha previsto che gli enti siano responsabili per tutti i reati commessi dai loro amministratori e direttori o da chiunque svolga attività sotto la vigilanza di queste categorie di persone. In quest’ultima categoria ricadono anche dipendenti, consulenti esterni e fornitori che svolgano la loro attività sotto la direzione e la sorveglianza dell’impresa.
Le sanzioni previste per gli enti possono essere particolarmente gravi. Oltre all’irrogazione di sanzioni pecuniarie ed alla confisca del profitto conseguito con il reato, il giudice può fissare sanzioni interdittive. Ad esempio, può essere vietato all’impresa di svolgere la propria attività o possono essere revocate o sospese le licenze in possesso dell’ente.
La responsabilità degli enti opera solo con riferimento ai reati per i quali la legge lo prevede espressamente.
I reati informatici per i quali è prevista la responsabilità degli enti
La lista dei reati informatici per i quali è prevista anche la responsabilità degli enti è contenuta nell’art. 24-bis del decreto legislativo n. 231/2001. Nella lista sono inclusi molti dei reati che abbiamo indicato nella nostra guida ai reati informatici in azienda. Rinviamo alle pagine che trattano ciascun reato per maggiori esempi ed approfondimenti.
Reati di violazione del domicilio informatico e sottrazione di dati
Tra i reati per i quali è prevista la responsabilità degli enti ci sono i reati relativi alla violazione del domicilio informatico. Si tratta dei reati di accesso abusivo ad un sistema informatico o telematico (615-ter c.p.) e di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (615-quater c.p.).
Ad esempio, vi è una responsabilità penale della società nel caso in cui un nuovo dipendente usi a suo vantaggio i dati sottratti illecitamente al proprio precedente datore di lavoro.
Reati di danneggiamento di informazioni o sistemi informatici
La legge prevede la responsabilità penale degli enti anche per i reati di danneggiamento di informazioni o sistemi informatici previsti dalla legge (articoli 615-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies c.p.).
Vi è, ad esempio, la responsabilità della società nel caso in cui uno dei suoi amministratori commissioni un attacco informatico per danneggiare le informazioni o i sistemi informatici di un concorrente.
Fuori dal mondo delle imprese, su una ONG potrebbe ricadere la responsabilità per i reati informatici commessi da un proprio stretto collaboratore che compia un attacco informatico per motivi ideologici (il cd. Hacktivism) a vantaggio dell’organizzazione.
Reati di intercettazione di comunicazioni informatiche o telematiche
La responsabilità degli enti è prevista anche nel caso dei reati di intercettazione, o interruzione di comunicazioni informatiche o telematiche previsti dagli articoli 617-quater e 617-quinquies del codice penale.
Rientrano, per esempio, i casi di spionaggio industriale mediante l’intercettazione delle comunicazioni informatiche o telematiche di un dipendente, compiuti o commissionati da un dipendente o un amministratore nell’interesse dell’impresa.
Reati di falsificazione
La responsabilità per i reati del dipendente è prevista anche nei casi di falsificazione dei documenti informatici (art. 491-bis).
L’impresa potrà essere considerata responsabile per il caso in cui un dipendente, anche solo per coprire un proprio errore, falsifichi il contenuto di un documento informatico.
Altri casi speciali
La responsabilità per i reati informatici commessi dal dipendente è prevista anche in alcune ipotesi speciali. Ad esempio, è prevista per il caso di frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.)
Inoltre, è prevista una particolare forma di responsabilità collegata agli enti inclusi nel perimetro nazionale di sicurezza cibernetica. Vi è una responsabilità solidale dell’ente nel caso in cui un amministratore o un dipendente fornisca alle autorità pubbliche informazioni false o fuorvianti che le ostacolino nella determinazione delle misure di protezione necessarie a garantire la sicurezza del Paese contro attacchi cibernetici (art. 1, co. 11, d.l. n. 105/2019).
Come prevenire la responsabilità per i reati informatici del dipendente
In base al decreto legislativo n. 231/2001, l’unico modo per evitare la responsabilità penale dell’ente per i reati commessi da amministratori e dirigenti è adottare un adeguato modello di organizzazione.
Per essere efficace, il modello organizzativo deve prevedere modalità di vigilanza efficaci sull’attività di questi soggetti. Per esempio, possono essere adottare procedure uniformi e controlli specifici che possono riguardare le operazioni in cui vi è un rischio concreto che sia commesso uno dei reati per i quali l’ente è corresponsabile.
Ad esempio, il modello può prevedere delle procedure standard, che consentono un doppio controllo delle attività più a rischio. Può inoltre essere prevista la creazione di un organismo di vigilanza, che controlli l’attività dell’ente con lo scopo di prevenire la commissione di reati.
L’adozione di un modello efficace permette all’ente di evitare responsabilità per i reati commessi dai propri amministratori e dipendenti. Dovrà però dimostrare che i colpevoli hanno volontariamente eluso la sorveglianza e reso vane tutte le precauzioni adottate.
La responsabilità civile e risarcimento del danno per i reati informatici commessi dal dipendente
In aggiunta alla responsabilità “penale”, i reati informatici commessi dal dipendente possono esporre un ente alla responsabilità civile nei confronti di colui che ha subito un danno a causa del reato.
Questo tipo di responsabilità è previsto anche nei casi in cui non vi è una responsabilità da reato in capo all’ente, come, ad esempio, nel caso dei reati di trattamento illecito di dati personali.
In base alla legge, il datore di lavoro o il committente rispondono per i danni causati dai propri dipendenti nello svolgimento delle attività affidategli (art. 2049 c.c.).
In base a questa regola, se un dipendente commette un reato mentre svolge la propria attività lavorativa, il datore di lavoro risponde del danno che ne deriva, anche se non ha tratto alcun vantaggio dal reato. È infatti sufficiente che le mansioni assegnate al dipendente abbiano reso possibile o comunque agevolato il comportamento che ha prodotto il danno al terzo.
Si tratta di una regola generale che riguarda tutti gli ambiti dell’attività di impresa. Anche in quest’ambito vale la regola per cui è necessario adottare adeguati modelli di prevenzione e vigilanza, basati sul rischio specifico.
