Questo libro è uno strumento di lavoro per chi già opera nel settore della compliance aziendale nonchè di studio per chi vuole approfondire il tema complesso della gestione dei reati informatici in un ecosistema 231.
Responsabili affari legali, componenti di organismi di vigilanza e giuristi, ma anche data protection officer e consulenti di direzione d’impresa troveranno in questo volume un importante supporto per compiere scelte operative consapevoli ed efficaci.
Gli autori di questo lavoro, provenienti dall’accademia, dalla giurisdizione, dal foro e da realtà aziendali che operano nel settore delle infrastrutture critiche hanno creato un’opera che ha nell’approccio multidisciplinare il proprio punto di forza. In questo modo è stato possibile bilanciare efficacemente l’inquadramento teorico dei differenti temi trattati - non ultimo, il rapporto fra modello organizzativo 231 e GDPR - e le loro implicazioni operative, grazie anche all’analisi di casi di studio.
INDICE SOMMARIO
Prefazione di Luca Lupà ria Donati ......................... . V Gli autori ....................................... . XIII CAPITOLO 1
CYBERATTACK: TECNICHE DI PREVENZIONE,
RILEVAZIONE E MITIGAZIONE
di Luigi V. Mancini e Giulio Pagnotta
1. Introduzione .................................. . 1
2. Definizioni, tecniche di base e governance della sicurezza ........ . 3
3. Accesso abusivo ad un sistema informatico o telematico ......... . 7
3.1. Accesso abusivo e diffusione di virus, malware ed artefatti (artt.
615-ter e -quinquies c.p.) ....................... . 7
3.2. Detenzione e diffusione abusiva di credenziali di autenticazione (art.
615-quater c.p.) ............................. . 12
4. Danneggiamento informatico ......................... . 15
4.1. Danneggiamento di informazioni, dati o programmi informatici
(artt. 635-bis e 491-bis c.p.) ...................... . 15
4.2. Danneggiamento di sistemi informatici (art. 635-quater c.p.) ... . 17
5. Frode informatica (art. 640-ter c.p.) ..................... . 18
6. Intercettazione, impedimento, interruzione di comunicazioni (art. 617-
quater c.p.) ................................... . 19
7. Mitigazione ................................... . 20
8. Conclusioni ................................... . 21
CAPITOLO 2
I DELITTI INFORMATICI PREVISTI DAL D.LGS. N. 231/2001
di Lorenzo Picotti
1. Introduzione .................................. . 23
2. L’accesso illegale ad un sistema informatico o telematico (art. 615-ter c.p.) . . 25
3. I reati prodromici (artt. 615-quater e 615-quinquies c.p.) ......... . 28
4. Intercettazione illegale di dati e comunicazioni fra sistemi informatici (artt.
617-quater e 617-quinquies c.p.) ....................... . 31
5. I danneggiamenti informatici (artt. 635-bis, 635-ter, 635-quater e 635-
quinquies c.p.) ................................. . 33
VII
6. I delitti di falsità in documenti pubblici informatici (art. 491-bis c.p.) . . 35
7. Sulle frodi informatiche (artt. 640-bis e 640-quinquies c.p.) ....... . 38
8. Il delitto di omessa comunicazione e adozione delle misure previste dal
perimetro di sicurezza nazionale cibernetica (art. 1 comma 11 d.l. n.
105/2019 conv. dalla l. n. 133/2019) .................... . 40
9. Conclusioni ................................... . 42
CAPITOLO 3
LE INDAGINI PRELIMINARI E L’ATTIVITÀ DI POLIZIA GIUDIZIARIA
di Giampiero Di Florio
1. Introduzione .................................. . 45
2. I reati informatici presupposto della responsabilità dell’ente ex d.lgs. n.
231/2001 .................................... . 50
3. Attività di indagine e diritti fondamentali della persona ......... . 53
4. Il documento informatico e l’acquisizione nel corso delle indagini ... . 55
4.1. La prova digitale ............................ . 61
5. Ispezione e perquisizione di sistemi informatici .............. . 62
6. Sequestro di sistemi informatici ....................... . 71
7. Cenni sul captatore informatico ....................... . 86
8. Conclusioni ................................... . 93
CAPITOLO 4
IL CONTRIBUTO TECNICO NELL’ACCERTAMENTO
DEI REATI INFORMATICI
di Giuseppe Gennari
1. Reati informatici e accertamenti tecnici ................... . 103
2. Selezionare l’esperto .............................. . 107
3. Valutare l’esperto ............................... . 111
3.1. Criteri di valutazione delle “misure adeguate†........... . 112
3.2. Conseguenze della mancanza di “misure adeguate†........ . 115
4. Conclusioni ................................... . 118
CAPITOLO 5
LA DIFESA DELL’ENTE E LE INVESTIGAZIONI DIFENSIVE
NEL PROCESSO DE SOCIETATE
di Marco Pittiruti
1. Garanzie partecipative e difensive nel d.lgs. n. 231/2001 ......... . 121
2. Autodifesa e difesa tecnica dell’ente ..................... . 124
3. Il diritto al silenzio nel processo de societate. ................ . 131
4. L’attività investigativa dell’ente: indagini interne societarie e investigazioni
difensive ..................................... . 137
5. Diritto alla prova dell’ente e dati digitali .................. . 142
INDICE SOMMARIO
VIII
CAPITOLO 6
PREVENZIONE E DISSUASIONE DEI REATI INFORMATICI
NEL MODELLO ORGANIZZATIVO
di Francesco Di Maio
1. Introduzione .................................. . 149
2. Prevenzione e sistemi di gestione della sicurezza (Security) ....... . 150
3. Gestione della sicurezza delle informazioni e relazioni con l’organismo di
vigilanza ..................................... . 154
4. Gli elementi costitutivi di un sistema di gestione della sicurezza delle
informazioni .................................. . 159
4.1. L’effettività della Governance ed il supporto dell’alta direzione
dell’organizzazione ........................... . 159
4.2. Ruoli e responsabilità . La separazione dei compiti e il principio del
least privilege............................... . 160
4.3. La gestione del rischio ......................... . 163
4.3.1. L’importanza dell’asset inventory ............... . 164
4.3.2. La gestione del fattore umano e il rischio “insider†.... . 165
4.3.3. (Segue). Le verifiche di preassunzione ed in corso di svolgimento del rapporto di lavoro ................ . 167
4.3.4. (Segue). Gli obblighi di formazione ed informazione ... . 172
5. Il sistema delle regole ............................. . 174
5.1. Security policy ............................. . 176
5.2. Le regole sull’utilizzo delle dotazioni informatiche, dei servizi, dei
sistemi e delle reti ........................... . 176
5.3. Le regole sulla gestione degli accessi logici ............. . 181
5.4. La gestione delle terze parti ...................... . 183
6. Il sistema dei controlli ............................. . 184
6.1. Tipologie di controlli ......................... . 187
6.2. L’importanza dei processi di audit: l’effettività misurata e dimostrata . 191
CAPITOLO 7
LE CERTIFICAZIONI DI INFORMATION SECURITY: ANALISI DI SUPPORTO PER LE FINALITÀ ESIMENTI DEL MODELLO ORGANIZZATIVO
di Francesco Di Maio
1. Certificazioni di Information Security. Il superamento della conformitÃ
normativa e gli obiettivi di responsabilità sociale d’impresa ....... . 193
2. Lo sviluppo degli standard di settore certificabili e non certificabili.
Benefici e criticità nell’adozione e nella certificazione ........... . 196
2.1. La spinta della normativa vincolante all’adozione di processi certificati ................................... . 202
2.2. I meccanismi di accreditamento e certificazione europea. Il Regolamento (CE) 765/2008: accreditamento e vigilanza e il Regolamento
Ue 2019/881 .............................. . 207
INDICE SOMMARIO
IX
2.2.1. La famiglia degli Standard ISO quale termine di riferimento
dei processi di standardizzazione dei sistemi di gestione: ISO
27001, ISO 22301 e cenni sulla ISO 28000 ........ . 209
2.3. Le “misure di sicurezza†nel quadro della Direttiva NIS e gli
sviluppi di aggiornamento ....................... . 214
3. Il Perimetro della sicurezza cibernetica e il Framework Nazionale ... . 218
CAPITOLO 8
IL MODELLO ORGANIZZATIVO 231
E LA PROTEZIONE DEI DATI PERSONALI
di Andrea Monti
1. Introduzione .................................. . 225
2. L’ambito di tutela della protezione dei dati personali ........... . 225
3. Modelli organizzativi a confronto: le divergenze di impianto ...... . 229
3.1. L’analisi del rischio .......................... . 229
3.2. L’efficacia esimente della conformità GDPR in ambito 231 e vice- versa ................................... . 233
3.3. Il ruolo delle certificazioni ...................... . 237
4. Modelli organizzativi a confronto: i punti di contatto ........... . 239
5. Il ruolo dell’organismo di vigilanza e del DPO .............. . 241
6. Accountability o diritto di difesa? ...................... . 244
7. Conclusioni ................................... . 247
CAPITOLO 9
UN CASO DI STUDIO:
IL MODELLO ORGANIZZATIVO 231 NEI SERVIZI DI CYBERSECURITY
di Andrea Monti
1. Introduzione .................................. . 251
2. La tipologia dei servizi di cybersecurity. ................... . 253
2.1. Ricerca di vulnerabilità software ................... . 254
2.2. Vulnerability Assessment ....................... . 255
2.3. Penetration Test ............................ . 258
2.4. Intrusion detection/Intrusion Prevention .............. . 259
2.5. Proactive security ............................ . 260
2.6. Cybersecurity-as-service ........................ . 260
3. Le criticità penalmente rilevanti per il prestatore di servizi di cybersecurity.. 262
4. Un caso di studio ............................... . 275
5. La progettazione del modello organizzativo ................ . 278
5.1. L’analisi del rischio .......................... . 278
5.2. La definizione delle fonti regolamentari dell’ente ......... . 280
5.3. Il sistema dei controlli ......................... . 280
5.4. La definizione e l’attuazione dei protocolli ............. . 281
5.5. I protocolli per la cybersecurity. La gestione del personale .... . 283
5.6. (Segue). I controlli sulla proprietà intellettuale e industriale ... . 284
INDICE SOMMARIO
X
5.7. (Segue). La prevenzione dei reati informatici ............ . 285
5.8. (Segue). L’uso della crittografia .................... . 287
5.9. (Segue). La prevenzione dell’ostruzione alla giustizia ....... . 287
5.10. I flussi informativi ........................... . 290
6. Conclusioni ................................... . 291
Bibliografia ....................................... . 293
Indice analitico .................................... . 299
INDICE SOMMARIO
XI
IL CURATORE
Andrea Monti è avvocato cassazionista e professore incaricato di digital law presso
l’Università di Chieti-Pescara dove si laureò in giurisprudenza nel 1992. Dopo la
laurea ha frequentato, nella stessa Università , il Corso di perfezionamento in
antropologia criminale e nell’università di Roma-Sapienza il Corso in informatica
giuridica e diritto dell’informatica. Sempre presso l’Università di Roma-Sapienza
è docente nel Master di II livello in Informatica giuridica, nuove tecnologie e
Diritto dell’informatica. È autore di articoli e studi pubblicati da riviste italiane e
straniere in materia di computer forensics, protezione dei dati personali, diritto
d’autore e società dell’informazione. Ha recentemente pubblicato, insieme a
Raymond Wacks, Emeritus Professor of Law and Legal Theory nell’università di
Hong Kong, Protecting Personal Information (Hart Publishing, 2019), COVID-19
and Public Policy in the Digital Age (Routledge, 2020) e National Security in the
New World Order (Routledge, 2021). È stato componente di organismi di
vigilanza e consulente in ambito 231 per aziende attive nel settore dell’informatica
e delle telecomunicazioni.
GLI AUTORI
Giampiero Di Florio. Magistrato, è Procuratore capo della Repubblica presso il
Tribunale di Vasto. Esperto di criminalità economica e finanziaria ha portato a
giudizio procedimenti di altissimo profilo relativi a casi di corruzione nella
pubblica amministrazione. È stato relatore in numerosi convegni nei quali si è
occupato di criminalità informatica, impatto delle nuove tecnologie sulla societÃ
ed educazione alla legalità .
Francesco Di Maio. Laureato in Giurisprudenza e scuola di specializzazione in Diritto
Civile all’ateneo “Federico II†di Napoli, Titolato al Centro Alti Studi sulla Difesa,
già Ufficiale dell’Arma dei Carabinieri, dal 1991 al 2001 appartenente ai ruoli dei
Commissari della Polizia di Stato, dirigendo importanti uffici investigativi come la
Squadra Mobile della Questura di Latina e le sezioni Antidroga e antirapina della
Squadra Mobile di Roma; Avvocato già iscritto all’albo speciale per le pubbliche
amministrazioni, dal 2004 è Responsabile della Corporate Security in ENAV, il
Fornitore di Servizi di Navigazione Aerea in Italia. Si occupa principalmente di un
approccio metodologico al sistema integrato di gestione della Security per i servizi
di navigazione aerea, collaborando con diversi Atenei. Si dedica anche alla ricerca
scientifica, indagando in particolare il rapporto tra sicurezza informatica, sicu- XIII
rezza fisica e fattori umani nella complessità dello scenario aereo. Civil Servant in
diversi gruppi di lavoro internazionali come rappresentante nazionale, in particolare ICAO, organismi della Commissione Europea, EASA, NATO, di cui dal
settembre 2021 è stato eletto presidente del Transport Group-Civil Aviation.
Giuseppe Gennari è stato giudice presso il Tribunale di Milano — Ufficio del Giudice
per le indagini preliminari fino al 2006 ed attualmente presta servizio presso la IX
sezione civile. È professore incaricato di diritto privato per il corso di laurea di
Economia Aziendale della Università L. Bocconi di Milano. Da sempre si occupa
delle tematiche legate alla prova scientifica e, più in generale, al rapporto fra
scienza e diritto. Nel 2019 è stato visiting scholar nell’università giapponese di
Osaka dove ha tenuto lezione sul sistema processual-penalistico italiano. È autore
di numerosi articoli pubblicati su riviste nazionali e internazionali. Il suo ultimo
lavoro, insieme ad Andrea Piccinini, è La prova del DNA. Istruzioni per il giurista
(Maggioli, 2021).
Luigi V. Mancini. Professore ordinario di Informatica e Presidente del Corso di Laurea
Magistrale in Cybersecurity della Facoltà di Ingegneria dell’Informazione, Informatica e Statistica presso l’Università di Roma “La Sapienzaâ€. Dal 2003, è stato il
direttore di Master universitari in sicurezza dei sistemi e delle reti informatiche
istituiti presso l’Università di Roma “La Sapienzaâ€. Svolge la sua attività presso il
Dipartimento di Informatica e i suoi interessi di ricerca includono i settori della
sicurezza dei dati e delle reti, del machine learning security, e della user privacy.
Ha pubblicato più di 140 articoli scientifici in conferenze internazionali e riviste
e ha ricevuto più di 7500 citazioni. Noto è il suo lavoro “Scalable and Efficient
Provable Data Possession†che nel 2020 ha ricevuto il Premio internazionale
“Jean-Claude Laprie Awardâ€. Svolge attività di collaborazione scientifica nell’ambito di numerosi progetti nazionali ed internazionali. Ha conseguito il PhD in
Computer Science presso l’Università di Newcastle upon Tyne, Gran Bretagna nel
1989.
Giulio Pagnotta. Si è laureato con lode nel corso di Laurea Magistrale in Cybersecurity
della Sapienza Università di Roma nel 2019. Nel 2020 è stato uno dei vincitori del
premio “Laureato Eccellenteâ€, conferitogli dalla Sapienza Università di Roma, per
essere stato tra i migliori laureati del suo anno accademico.
Attualmente è un ricercatore presso la Sapienza Università di Roma, dove è al suo
terzo anno di Dottorato. La sua attività di ricerca si incentra principalmente sulla
cybersecurity e l’intelligenza artificiale.
Lorenzo Picotti. Professore ordinario di diritto penale nell’Università di Verona, dove
insegna anche diritto penale dell’informatica ed International criminal law, nonché avvocato cassazionista. Componente di comitati scientifici di associazioni
nazionali e internazionali, nonché di riviste giuridiche nazionali ed internazionali,
ha svolto un’intensa attività di ricerca e di docenza anche all’estero ed in
particolare in Francia, Germania, Spagna, Regno Unito, Cile, Colombia e Stati
Uniti. Fra i primi ad occuparsi di criminalità informatica fin da prima della
modifica del codice penale, che ha introdotto i computer crime nell’ordinamento
italiano, studia i profili — anche comparatistici — dei cybercrime, della criminalità economica e della responsabilità penale dell’impresa, conducendo gruppi di
ricerca anche sull’intelligenza artificiale.
GLI AUTORI
XIV
Marco Pittiruti. Ha conseguito la Laurea Magistrale in Giurisprudenza presso l’Università degli Studi “Roma Treâ€. Presso la Scuola Dottorale Internazionale “Tullio
Ascarelli†del medesimo Ateneo ha conseguito il titolo di Dottore di ricerca in
Sistemi punitivi e garanzie costituzionali — area Diritto processuale penale. Dal
2018 è titolare di incarichi di docenza presso l’Università degli Studi di Teramo
in Diritto processuale penale (sede di Avezzano) e, dal 2021, in Indagini atipiche e
digital evidence. Attualmente è Ricercatore di Diritto processuale penale presso
l’Università degli Studi “Roma Treâ€, ove è, altresì, docente di Indagini penali
informatiche e digital evidence.