La responsabilità penale degli enti è una fattispecie di responsabilità penale derivante da illecito amministrativo introdotta dal D.Lgs. 231/2001 e dalla legge 146/2006. Il Decreto Legislativo 231 del 8 giugno 2001, n. 231, relativo a Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica attua la legge delega n. 300/2000 e ha introdotto per la prima volta nel nostro ordinamento la responsabilità penale degli enti.

Si tratta di una norma che rende responsabile l’ente per i reati posti in essere dai suoi amministratori, dirigenti o dipendenti nell’interesse e/o a vantaggio dell’ente stesso.

Prima dell’emanazione del D.Lgs. 231/2001 non vi era un sistema normativo che prevedesse conseguenze sanzionatorie dirette nei confronti di enti per i reati posti in essere a vantaggio di questi ultimi da amministratori, dirigenti o dipendenti: l’unica sanzione prevista era l’applicazione di multe ed ammende.

A chi si rivolge il D. Lgs. 231/2001?

Il D. Lgs. 231/2001 si rivolge agli enti forniti di personalità giuridica, società fornite di personalità giuridica e associazioni anche prive di personalità giuridica. Sono esclusi lo Stato, enti pubblici territoriali ed enti con funzioni di rilievo costituzionale.

Come indicato all’art. 5, lettera a, del D. Lgs. 231/2001, sono interessati i soggetti che rivestono funzioni di rappresentanza, amministrazione o direzione dell’Ente stesso o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale o che ne esercitano, anche di fatto, la gestione ed il controllo.

All’art. 5, lettera b, sono indicate le persone sottoposte alla direzione o vigilanza di uno dei soggetti di cui alla lettera a).

Viene, tuttavia, esclusa la responsabilità dell’ente nel caso in cui le persone che ricoprono incarichi apicali e quindi dirigenziali, ovvero soggette “all’altrui direzione” hanno agito nell’interesse esclusivo proprio o di terzi.

Reati presupposto del D. Lgs. 231/2001

Il Decreto Legislativo 231/2001 prevede la responsabilità penale degli enti per il seguente elenco di reati presupposto:

• malversazione a danno dello Stato (art.316-bis c.p.)
• indebita percezione di erogazioni pubbliche (art.316-ter c.p.)
• truffa in danno dello Stato o di altro Ente pubblico (art. 640 co.2, c.p.)
• truffa per il conseguimento di erogazioni pubbliche (art. 640-bis c.p.)
• frode informatica in danno dello Stato o di altro ente pubblico (art. 640-ter c.p.)
• concussione (art.317 c.p.)
• corruzione per atto pubblico (art. 318 c.p.)
• corruzione per atto contrario ai doveri di ufficio (art. 319 c.p.)
• corruzione in atti giudiziari (art. 319-ter c.p.)
• corruzione di persona incaricata di un pubblico servizio (art. 320 c.p.)
• istigazione alla corruzione (art.322 c.p.)
• peculato, concussione, corruzione e istigazione alla corruzione degli Organi delle Comunità Europee e di funzionari delle Comunità Europee e di Stati membri
• falsità in monete, in carte di pubblico credito e valori bollati

Lo stesso D. Lgs. 231/2001 prevede la possibile esclusione di responsabilità nel caso in cui la società abbia adottato ed efficacemente attuato modelli di organizzazione, gestione e controllo idonei a prevenire la realizzazione degli illeciti penali anche mediante l’istituzione di un organo di controllo interno all’ente con il compito di vigilare sull’efficacia del modello, da cui nasce il termine modello 231 nelle aziende.

I reati informatici presupposto del Decreto Legislativo 231/2001

Per quanto concerne l’insieme dei reati informatici presupposto, inizialmente il D. Lgs. 231/2001 non prevedeva la responsabilità dell’ente per tutti i reati informatici, ma soltanto per quelli di frode informatica commessa a danno dello Stato o di altro Ente pubblico (art. 24), di assistenza a gruppi terroristici apprestata fornendo strumenti di comunicazione (art. 25-quater), di distribuzione, cessione e detenzione di materiale pedopornografico (art. 25-quinquies, comma 1, lett. c).

La Legge 48/2008 che ha ratificato la Convenzione di Budapest del Consiglio d’Europa sul cybercrime del 23 novembre 2001 ha apportato varie modifiche sia al codice penale che a quello di procedura penale, introducendo delle modifiche al D. Lgs. 231/01 per inserire i vari reati informatici, prima assenti, fra i reati presupposto, estendendo la responsabilità amministrativa degli enti ai seguenti reati informatici:

• falsità in un documento informatico (art. 491-bis c.p.)
• accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.): per sistema informatico o telematico si intende un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, cioè tutto ciò che gestisce ed elabora dati in formato digitale
• detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.)
• diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.)
• intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.)
• installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 615-quinquies c.p.)
• danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.)
• danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.)
• danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.)
• danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.)
• frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.)

Cosa devono fare le aziende rispetto al D. Lgs. 231/01 per tutelarsi dalla responsabilità penale degli enti?

Prendiamo ad esempio uno dei reati informatici presupposto: l’accesso abusivo a un sistema informatico commesso nell’interesse dell’ente. Un esempio pratico: l’ex dipendente che copia dati riservati per poi essere assunto da una società concorrente.

Ecco che quindi appare utile, o per meglio dire necessario, adottare un modello 231 e procedere a un’attenta valutazione dei rischi con la definizione di un piano di incidente response: identificare le aree di rischio, individuare protocolli per le varie procedure (ad esempio cambiare le password, limitare l’accesso ad aree non di competenza, creare un sistema sicuro di gestione degli account…), introdurre un vero e proprio disciplinare interno rispetto alle tematiche connesse alla sicurezza. Non solo: sarebbe altresì utile anche adottare strumenti e sistemi informatici che garantiscano un controllo delle attività di navigazione in Internet, dei download, dell’uso di posta elettronica, con adozione di meccanismi di alert in caso di anomalie.

BIT4LAW offre un servizio di consulenza finalizzato all’esecuzione di un audit interno con il quale effettuare l’analisi organizzativa e di sicurezza informatica dell’azienda. A partire dalle informazioni raccolte, verrà proposto un piano di messa in sicurezza – dal punto di vista tecnico e organizzativo – che consentirà di dimostrare in caso di incidente come l’azienda aveva fatto il possibile per evitare la commissione dei reati presupposto del D. Lgs. 231/2001.

Tra le varie attività proposte, BIT4LAW propone inoltre dei controlli periodici per verificare la reale implementazione del modello 231, con eventuale analisi dei sistemi informatici utilizzati in azienda.