* * *
I recenti risultati del rapporto Clusit sulla sicurezza informatica evidenziano un trend inarrestabile di crescita degli attacchi e dei danni conseguenti, delineando un quadro allarmante: nel 2017, gli attacchi informatici registrati nel mondo hanno avuto un incremento di circa il 200% rispetto a sei anni fa e hanno causato, solo in Italia, danni per decine di milioni di euro.
La ragione sottesa all’espansione del fenomeno criminale risiede nella inarrestabile ascesa, nel mondo, del “fenomeno Internet” che se, da un lato, ha offerto molteplici opportunità sul piano sociale, culturale ed economico, dall’altro, ha fornito un humus fertile per la proliferazione di comportamenti contra legem da parte dei suoi stessi fruitori.
Tra le fattispecie di reato maggiormente diffuse ricorre, sicuramente, quella di frode informatica, la cui forma di manifestazione più comune è quella del cd. “phishing”, che consiste nell’invio - da parte di ignoti truffatori - di messaggi di posta elettronica ingannevoli che riproducono la grafica e i loghi ufficiali di siti aziendali o istituzionali, come quelli postali o bancari, per mezzo dei quali la vittima è indotta a fornire volontariamente informazioni personali sensibili o comunque riservate, dall’utilizzo delle quali l’autore del reato ricava un ingiusto profitto.
Una delle condotte più comuni è, ad esempio, l’invio di false e-mail dirette ai clienti di una banca, al fine di ottenere i dati dei rapporti di conto corrente intrattenuti dagli stessi, utilizzandoli successivamente per disporre operazioni on line di trasferimento di denaro su conti correnti nella disponibilità dei criminali.
Simili attività, come è facilmente intuibile, arrecano un indubbio pregiudizio, non solo al soggetto truffato, ma anche all’ente, i cui dati sono stati utilizzati per commettere il reato, cagionando un evidente danno di natura reputazionale.
Tuttavia, le società non sono soltanto indirettamente danneggiate dalle condotte di cybercrime, ma spesso ne divengono le vittime privilegiate, soprattutto nelle forme della truffa online.
Basti pensare, al riguardo, alle ipotesi della cd. “fake president fraud”, nell’ambito delle quali, mediante il ricorso a fittizi indirizzi e-mail di soggetti appartenenti all’ente (generalmente in posizione apicale), vengono perpetrate “mega truffe”, inducendo l’ignaro personale della società a compiere disposizioni di pagamento, per importi molto elevati, nella convinzione di agire nell’interesse della società medesima.
Non meno rilevante è il fenomeno dell’accesso abusivo al sistema informatico, che – secondo l’orientamento giurisprudenziale prevalente – è integrato nelle ipotesi sia di introduzione abusiva (in assenza di autorizzazioni), sia di utilizzazione abusiva (dell’accesso autorizzato): ad esempio, rileva la condotta di chi, pur non violando un sistema informatico o telematico protetto, ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato.
È opportuno precisare che il delitto in parola può configurarsi come reato non solo in danno all’ente, ma anche nell’interesse del medesimo.
Si pensi, ad esempio, all’introduzione, non autorizzata, all’interno di un sistema informatico di una società concorrente, al fine di trafugare dati aziendali di rilievo per l’esercizio di un’attività imprenditoriale.
In un simile contesto, la condotta illecita realizzata, in quanto commessa nell’interesse e/o a vantaggio della persona giuridica, è idonea a fondare la responsabilità da reato dell’ente ai sensi del D.lgs. 231/01.
Ed è proprio in funzione di tali criticità che interessano l’ente - nella duplice veste di vittima e autore del reato - che si rende sempre più necessario, non solo assicurare la conformità della propria operatività alle norme vigenti (siano esse interne ed esterne), attraverso un approccio che consenta la loro integrazione nei processi aziendali, ma anche responsabilizzare e sensibilizzare tutta la popolazione aziendale circa una corretta gestione dei rischi informatici.
In tale ottica, l’implementazione di un adeguato corpus normativo interno rappresenta, pertanto, un requisito aziendale imprescindibile che può assumere valenza determinante solo se inteso come un’opportunità per la creazione di un modello di business efficace e non come un (inutile) costo.