L’inserimento dei reati informatici tra i reati presupposto del D.Lgs. 231/2001 è un segnale chiaro di quanto sia cruciale la sicurezza delle informazioni nel contesto aziendale.
Negli ultimi anni, la digitalizzazione del lavoro ha accelerato l’adozione di strumenti tecnologici, ma ha anche aumentato l’esposizione delle imprese a minacce informatiche. Parallelamente, il quadro normativo italiano ed europeo (vedi Direttiva NIS 2) si è evoluto, stabilendo precise responsabilità per le aziende in caso di reati informatici commessi dai propri dipendenti o collaboratori.
Ma cosa significa concretamente per le imprese?
- Quali rischi corrono le aziende in caso di attacchi informatici?
- Come il D.Lgs. 231/2001 regola la responsabilità degli enti?
- Quali misure adottare per prevenire reati informatici e tutelare l’azienda?
Esaminiamo in dettaglio il legame tra cybersecurity e compliance normativa e scopriamo come proteggere la propria organizzazione.
La digitalizzazione del lavoro e l’aumento dei rischi informatici
Secondo i dati dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, nel 2024 il 73% delle aziende ha subito degli attacchi informatici.
Secondo il rapporto del Clusit 2025 gli attacchi gravi sono aumentati del 15%.
Gli investimenti in ambito cybersecurity sono aumentati del 15%, per un mercato che oggi vale 2,48 miliardi di euro di cui
➡ il 41% = è finalizzato all’acquisto dei servizi
➡ il 37% = è finalizzato alle soluzioni HW w SW
Solo il 14% degli investimenti è stato incentrato sulla formazione del personale che tuttavia rappresenta la causa del 75% degli attacchi subiti!
L’inserimento dei reati informatici tra il novero dei reati 231 comporta che in occasione di un cyberattacco l’azienda potrebbe non solo perdere la disponibilità integrità o riservatezza dei propri dati, ma potrebbe altresì trovarsi a compiere un reato.
Cosa significa per le imprese?
- Senza adeguate misure di prevenzione, si rischiano sanzioni e danni reputazionali.
- L’adozione di un modello 231 può prevenire una parte delle conseguenze derivanti da un attacco informatico.
Come prevenire tutto questo? La risposta si trova nel D.Lgs. 231/2001.
D.Lgs. 231/2001: cos’è e perché riguarda la sicurezza informatica?
Il D.Lgs. 231/2001 ha introdotto la responsabilità amministrativa degli enti per alcuni reati commessi dai propri dipendenti o apicali nell’interesse dell’azienda.
Tra i reati presupposto rientrano anche i reati informatici, regolati dalla L. 48/2008, che ha recepito la Convenzione di Budapest sul cybercrime.
Quali sono le conseguenze per le aziende?
Se un dipendente commette un reato informatico, l’azienda può subire:
- Sanzioni pecuniarie – Fino a 1.549.000 € a seconda della gravità del reato.
- Sanzioni interdittive – Sospensione dell’attività, revoca di autorizzazioni o concessioni, divieto di contrattare con la PA, esclusione da finanziamenti.
Come proteggersi?
Il legislatore offre una possibilità di esonero o attenuazione della responsabilità: l’adozione di un Modello Organizzativo 231 con protocolli di prevenzione.
Compiere un reato informatico, purtroppo, non è così difficile.
Reati informatici e responsabilità dell’ente
I reati informatici inclusi nel D.Lgs. 231/2001 sono numerosi. Alcuni esempi:
Reati di accesso e intrusione nei sistemi
- Art. 615 ter c.p. – Accesso abusivo a un sistema informatico
- Art. 615 quater c.p. – Detenzione abusiva di codici di accesso
Reati di danneggiamento e sabotaggio
- Art. 635 bis c.p. – Danneggiamento di dati e programmi informatici
- Art. 635 quater c.p. – Danneggiamento di sistemi informatici di pubblica utilità
Reati di frode e falsificazione
- Art. 491 bis c.p. – Falsità in documenti informatici
- Art. 640 quinquies c.p. – Frode informatica del certificatore di firma elettronica
Scenario reale
Un amministratore di sistema che accede alle postazioni dei dipendenti utilizzando le loro credenziali senza autorizzazione commette il reato di accesso abusivo a sistema informatico (art. 615 ter c.p.). Se ciò avviene a vantaggio dell’azienda, anche l’ente può essere ritenuto responsabile.
Per evitare rischi, è fondamentale adottare misure di prevenzione specifiche.
Come prevenire la responsabilità penale aziendale?
Per proteggersi, un’azienda deve adottare un modello di prevenzione dei reati informatici, basato su protocolli e misure di sicurezza.
Fasi fondamentali per un Modello Organizzativo efficace
- Identificare i reati presupposto rilevanti – Quali sono i rischi concreti per l’azienda?
- Mappare le attività sensibili – Quali processi possono esporre a rischi informatici?
- Integrare misure di sicurezza adeguate – Basandosi ad esempio su standard internazionali come la ISO 27001
Protocolli di sicurezza raccomandati
- Gestione degli accessi – Definire livelli di autorizzazione e controllo.
- Sicurezza fisica e ambientale – Protezione di server e dispositivi aziendali.
- Controlli operativi – Implementazione di policy per backup, gestione errori e incidenti.
- Formazione dei dipendenti – Programmi di sensibilizzazione per ridurre il rischio di errori o violazioni involontarie.
Solo un approccio strutturato può ridurre i rischi e garantire la compliance normativa.
Nonostante il D.Lgs. 231/2001 sia in vigore da oltre 20 anni, solo lo 0,5% delle aziende italiane ha adottato un Modello Organizzativo adeguato.
Proteggere l’azienda è una priorità. Sei pronto ad adottare un modello di prevenzione efficace?
Contattaci per una consulenza sulla sicurezza informatica e compliance normativa!
