Introduzione della confisca dei PC per reati informatici, verso l’obbligo del D.Lgs 231/01

Dal 9 marzo 2012 entrano in vigore le modifiche al codice penale in materia di confisca obbligatoria in caso di reati informatici apportate dal disegno di legge approvato dalla Commissione Giustizia del Senato, con lo scopo di introdurre norme più severe per contrastare la criminalità informatica.

Il reati informatici sono infatti puniti dal codice penale, che prevede la confisca degli strumenti informatici o telematici utilizzati per commettere il fatto, ma finora la legge escludeva la confisca in caso di proprietà di persone terze, estranee al reato. Le cose ora cambiano.

Andiamo con ordine: a disporre il sequestro dei beni oggetto di reati informatici è l’art. 240 del codice penale che rimette al giudice, in fase di condanna per il reato, la decisione se confiscare i beni “complici” dell’illecito.

In particolare, all’articolo 240 è stato aggiunto il comma 1 bis che prevede la confisca «dei beni e degli strumenti informatici o telematici che risultino essere stati in tutto o in parte utilizzati per la commissione dei reati di cui agli articoli».

Dal 9 marzo 2012 entrano in vigore le modifiche apportate dalla legge, ma rimane in vigore l’ordine di confisca in caso di reati informatici.

Cosa cambia per le aziende? Escludendo le diverse implicazioni sulle responsabilità penali, se fino ad oggi un dipendente si macchiava di crimine informatico utilizzando i computer dell’ufficio (con azienda ignara del crimine, ovviamente), il sequestro dei terminali non era previsto, in quanto gli strumenti informatici erano di terzi.

Dal 9 marzo 2012 sarà invece obbligatorio procedere con la confisca di tutte i beni e gli strumenti informatici o telematici che «risultino essere stati in tutto o in parte utilizzati per la commissione dei reati di cui agli articoli».

L’unico modo per far salvo l’imprenditore dai danni anche penali è quindi l’utilizzo del DPSS come elemento esimente dell’art 24 bis del D.Lgs 231/01.

 

 

Abolizione del DPS ? Attenzione alle notizie fuorvianti.

Come noto il D.l 5/2012 “Semplifica Italia” ha abolito l’obbligo della redazione del DPS.

In realtà quest’eliminazione era già nota, vediamo perchè:

– In GURI il 27/12/2011 viene pubblicata una circolare della DigitPA che sancisce l’obbligo di rendere operativa la verifica dei piani di “Disaster Recovery” dell’art 50 bis del D.Lgs 82/05 (modificato ed integrato dal D.Lgs 235/10).

Questa norma in estrema sintesi dice che fino al 31/03/2011 il DPSS doveva essere redatto e solo “eccezionalmente” sarebbe stato ispezionato, ora invece tutte le PP.AA. entro il 31/12 di ogni anno devono compilare l’autovalutazione ed utilizzare lo strumento dell’art 17 della L. 241/90 per farsi rilasciare un parere tecnico dal DigitPA ( vecchio CNIPA per intenderci).

Quanto sopra solo per le PP.AA dell’art 1 comma 2 del D.lgs 165/01, per le imprese le cose invece non vanno verso una sostituzione di adempimenti, ma verso una complicazione vera e propria.

Non solo il DPS, ma tutto il D.Lgs 196/03 a breve sarebbe stato abrogato e sostituito dalla normativa comunitaria con particolari novità:

– per le aziende con più di 249 dipendenti” l’obbligo” di istituire un ufficio interno indipendente con autonomia finanziaria per il controllo del documento che dovrà sostituire il DPSS.

– per le altre aziende invece la “possibilità” di istituire l’organo indipendente per il controllo e l’attuazione del documento già noto come DPSS.

Inoltre un sistema sanzionatorio non solo tabellato agli importi ma parametrizzato a quote.

I lettori più attenti possono intravedere quindi, sopratutto per l’ipotesi di aziende fino a 250 dipendenti , un sitema normativo e di “autocontrollo” non dissimile dalle imposizioni del D.lgs 231/01.

Tralasciando comunque che i reati informatici della 231/01 (art 24 bis) possono essere esenti da sanzioni penali solo con la predisposizione di un modello di gestione e  controllo che incorpori il DPSS analizziamo bene la norma di abolizione del DPSS riportando il nuovo art. 34 del D.Lgs 196/03.

Art. 34
                Trattamenti con strumenti elettronici

  1. Il  trattamento  di  dati  personali  effettuato  con  strumenti
elettronici e’ consentito solo se sono adottate,  nei  modi  previsti
dal disciplinare tecnico  contenuto  nell’allegato  B),  le  seguenti
misure minime:
    a) autenticazione informatica;
    b)  adozione  di  procedure  di  gestione  delle  credenziali  di
autenticazione;
    c) utilizzazione di un sistema di autorizzazione;
    d) aggiornamento periodico  dell’individuazione  dell’ambito  del
trattamento consentito ai singoli incaricati e addetti alla  gestione
o alla manutenzione degli strumenti elettronici;
    e) protezione degli strumenti elettronici e dei dati  rispetto  a
trattamenti  illeciti  di  dati,  ad  accessi  non  consentiti  e   a
determinati programmi informatici;
    f) adozione di procedure per la custodia di copie  di  sicurezza,
il ripristino della disponibilita’ dei dati e dei sistemi;
    g) ((LETTERA SOPPRESSA DAL D.L. 9 FEBBRAIO 2012, N. 5));
    h) adozione di tecniche di cifratura o di  codici  identificativi
per determinati trattamenti di dati idonei a  rivelare  lo  stato  di
salute o la vita sessuale effettuati da organismi sanitart.
  1-bis. ((COMMA ABROGATO DAL D.L. 9 FEBBRAIO 2012, N. 5)).
  1-ter. Ai fini dell’applicazione delle disposizioni in  materia  di
protezione dei dati personali, i trattamenti effettuati per finalita’
amministrativo – contabili  sono  quelli  connessi  allo  svolgimento
delle attivita’ di natura organizzativa, amministrativa,  finanziaria
e contabile,  a  prescindere  dalla  natura  dei  dati  trattati.  In
particolare, perseguono tali  finalita’  le  attivita’  organizzative
interne, quelle funzionali all’adempimento di obblighi contrattuali e
precontrattuali, alla gestione del rapporto di lavoro in tutte le sue
fasi, alla tenuta della contabilita’ e all’applicazione  delle  norme
in materia fiscale,  sindacale,  previdenziale  –  assistenziale,  di
salute, igiene e sicurezza sul lavoro.

In particolare pur essendo soppressa la lettera g ” tenuta di un aggiornato documento programmatico sulla sicurezza” resta l’obbligo strutturale ed organizzativo di dover documentare l’adeguatezza del trattamento dei dati con strumenti informatici, tale obbligo è dato dall’art 50 bis del D.Lgs 82/05 per le PP.AA e dall’adozione di un modello esimente per le imprese, che converrà continuare a chiamare DPSS almeno fino all’entrata in vigore del nuovo regolamento europeo, e questi documenti saranno esibiti agli organi ispettivi.

 

 

 

 

Direttiva 14/11,autocertificazioni,molto rumore per nulla

Da inizio anno siamo stati investiti da una rivoluzione,o almeno vogliono farci credere questo.

La questione della direttiva 14/11 non cambia in niente e per niente la disciplina dell’autocertificazione che ormai utilizziamo dal 2000, la novità della 183/11 è rappresentata dalla meschina possibilità di potere denunciare un’altra PP.AA. qualora avesse rilasciato una certificazione di stato, ma ricordo che la P.A. emittente ha solo l’obbligo della dicitura “il presente certificato non può essere prodotto….”e non può essere responsabile del giro e delle vicende documentali.

E’ ormai abitudine consolidata quella di accettare autocertificazioni ai sensi del DPR 445/00 art 46, norma intelligente che in estrema sintesi recita “ogni cittadino conosce il proprio status, e di questo può dichiarare le situazioni cristalizzate: nascita, titolo di studio, decesso, composizione familiare, etc etc”.

 

Per quanto riguarda il potere di sindacato da parte della P.A. sulle autodichiarazioni vige il principio generale della libertà di circolazione tra uffici ed organi dello Stato (tra questi anche i privati fornitori di utilità diffuse) e bisogna nominare un responsabile di collegamento, questo nome deve essere pubblicizzato, ora è evidente che la figura  degenera con quella prevista dall’art .5 della 241/90, il responsabile del procedimento, o più dettagliatamente per le ISA nel DM 190/95.

E’ ancora importante sottolineare che con le diverse normative targate “BRUNETTA” l’esistenza di taluni requisiti che potremo richiedere in sede di gara dovrebbero già essere pubblicizzate sul sito web istituzionale, questo concetto è rafforzato anche dalla norma contenuta nell’art 331 del DPR 207/10.

Esempio : ai sensi dell’articolo 42 comma 1 lettera a chiediamo ai concorrenti di una procedura di acquisto l’elenco delle forniture simili fatte ad una P.A.

L’elenco delle forniture e’ immediatamente controllabile se la PA che dovrebbe essere certificante (noi siamo la propronente) ha utilizzato l’art 331 del DPR 207/10, il c.d. istituto della postinformazione.

 

Per concludere ricordo comunque che il D.Lgs 82/05, il CAD, già disciplinò la problemtica di banche dati comuni con il S.P.C. (servizio pubblico di connettività e cooperazione) articoli 50-52-60-71 del CAD e che dal 2005 esiste tale obbligo.

Per quanto riguarda il DURC è evidente che questo non possa essere autocertificato in quanto non può essere cristallizzato, io compilatore con l’utilizzo di strumenti AUTOLIQUIDATORI presumo di adempiere in modo corretto alla contribuzione previdenziale ed assicurativa, gli uffici preposti (INAIL, INPS, Cassa EDILE) possono accettare o meno il mio atto.

Tuttavia con il decreto sviluppo (art 4 comma 14 bis l. 106/11) viene introdotta una importante deroga al patto che non si superino i 20000 € e non ci siano lavori (vale quindi solo per la fornitura di beni e servizi), la norma recita infatti che in LUOGO DEL DURC può esserci l’autocertificazione e non che il DURC possa essere autocertificato.

In pratica tutta la norma si conclude con l’apposizione della stampa

Il presente certificato non può essere prodotto agli organi della Pubblica amministrazione o ai privati gestori di pubblici servizio”

 

molto rumore per nulla.

vincenzo de prisco