La responsabilità penale degli enti è una fattispecie di responsabilità penale derivante da illecito amministrativo introdotta dal D.Lgs. 231/2001 e dalla legge 146/2006. Il Decreto Legislativo 231 del 8 giugno 2001, n. 231, relativo a Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica attua la legge delega n. 300/2000 e ha introdotto per la prima volta nel nostro ordinamento la responsabilità penale degli enti.
Si tratta di una norma che rende responsabile l’ente per i reati posti in essere dai suoi amministratori, dirigenti o dipendenti nell’interesse e/o a vantaggio dell’ente stesso.
Prima dell’emanazione del D.Lgs. 231/2001 non vi era un sistema normativo che prevedesse conseguenze sanzionatorie dirette nei confronti di enti per i reati posti in essere a vantaggio di questi ultimi da amministratori, dirigenti o dipendenti: l’unica sanzione prevista era l’applicazione di multe ed ammende.
Indice degli argomenti
Il D. Lgs. 231/2001 si rivolge agli enti forniti di personalità giuridica, società fornite di personalità giuridica e associazioni anche prive di personalità giuridica. Sono esclusi lo Stato, enti pubblici territoriali ed enti con funzioni di rilievo costituzionale.
Come indicato all’art. 5, lettera a, del D. Lgs. 231/2001, sono interessati i soggetti che rivestono funzioni di rappresentanza, amministrazione o direzione dell’Ente stesso o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale o che ne esercitano, anche di fatto, la gestione ed il controllo.
All’art. 5, lettera b, sono indicate le persone sottoposte alla direzione o vigilanza di uno dei soggetti di cui alla lettera a).
Viene, tuttavia, esclusa la responsabilità dell’ente nel caso in cui le persone che ricoprono incarichi apicali e quindi dirigenziali, ovvero soggette “all’altrui direzione” hanno agito nell’interesse esclusivo proprio o di terzi.
Il Decreto Legislativo 231/2001 prevede la responsabilità penale degli enti per il seguente elenco di reati presupposto:
Lo stesso D. Lgs. 231/2001 prevede la possibile esclusione di responsabilità nel caso in cui la società abbia adottato ed efficacemente attuato modelli di organizzazione, gestione e controllo idonei a prevenire la realizzazione degli illeciti penali anche mediante l’istituzione di un organo di controllo interno all’ente con il compito di vigilare sull’efficacia del modello, da cui nasce il termine modello 231 nelle aziende.
Per quanto concerne l’insieme dei reati informatici presupposto, inizialmente il D. Lgs. 231/2001 non prevedeva la responsabilità dell’ente per tutti i reati informatici, ma soltanto per quelli di frode informatica commessa a danno dello Stato o di altro Ente pubblico (art. 24), di assistenza a gruppi terroristici apprestata fornendo strumenti di comunicazione (art. 25-quater), di distribuzione, cessione e detenzione di materiale pedopornografico (art. 25-quinquies, comma 1, lett. c).
La Legge 48/2008 che ha ratificato la Convenzione di Budapest del Consiglio d’Europa sul cybercrime del 23 novembre 2001 ha apportato varie modifiche sia al codice penale che a quello di procedura penale, introducendo delle modifiche al D. Lgs. 231/01 per inserire i vari reati informatici, prima assenti, fra i reati presupposto, estendendo la responsabilità amministrativa degli enti ai seguenti reati informatici:
Prendiamo ad esempio uno dei reati informatici presupposto: l’accesso abusivo a un sistema informatico commesso nell’interesse dell’ente. Un esempio pratico: l’ex dipendente che copia dati riservati per poi essere assunto da una società concorrente.
Ecco che quindi appare utile, o per meglio dire necessario, adottare un modello 231 e procedere a un’attenta valutazione dei rischi con la definizione di un piano di incidente response: identificare le aree di rischio, individuare protocolli per le varie procedure (ad esempio cambiare le password, limitare l’accesso ad aree non di competenza, creare un sistema sicuro di gestione degli account…), introdurre un vero e proprio disciplinare interno rispetto alle tematiche connesse alla sicurezza. Non solo: sarebbe altresì utile anche adottare strumenti e sistemi informatici che garantiscano un controllo delle attività di navigazione in Internet, dei download, dell’uso di posta elettronica, con adozione di meccanismi di alert in caso di anomalie.
BIT4LAW offre un servizio di consulenza finalizzato all’esecuzione di un audit interno con il quale effettuare l’analisi organizzativa e di sicurezza informatica dell’azienda. A partire dalle informazioni raccolte, verrà proposto un piano di messa in sicurezza – dal punto di vista tecnico e organizzativo – che consentirà di dimostrare in caso di incidente come l’azienda aveva fatto il possibile per evitare la commissione dei reati presupposto del D. Lgs. 231/2001.
Tra le varie attività proposte, BIT4LAW propone inoltre dei controlli periodici per verificare la reale implementazione del modello 231, con eventuale analisi dei sistemi informatici utilizzati in azienda.