Delitti informatici. L’avv. Caroppo (cons. As.Tro): “Rafforzare procedure di sicurezza e provvedere alla formazione del personale”

ROMA – Le società di giochi devono disporre di un Modello Organizzativo che contiene specifiche procedure di sicurezza in termine di prevenzione sui rischi informatici e istituire un programma di formazione obbligatoria per tutto il personale sui reati inerenti al D.Lgs. 231/01.  È una delle conclusioni cui giunge l’avvocato Marco Caroppo, consulente di As.Tro, in un articolo pubblicato sul sito dell’associazione. Caroppo, che da luglio è entrato a far parte di As.tro-Confindustria SIT come consulente esperto in materia di responsabilità amministrativa degli enti ex D.Lgs. 231/2001 (sicurezza sul lavoro), ha illustrato gli strumenti di prevenzione dei reati previsti da tale normativa che possono essere adottati all’interno delle aziende, con approfondimenti specifici legati al settore del gioco pubblico. 
La società - La Omega Dollar S.r.l. – il nome è di fantasia - gestisce regolarmente sale scommesse e slot machine in tutta Italia e non ha adottato un Modello Organizzativo ai sensi del D.lgs. 231/2001.
Il fatto
Due dipendenti del settore IT (esperti informatici) utilizzano credenziali di amministrazione per accedere abusivamente ai sistemi informatici della società, alterando i dati relativi ai conti gioco e manipolando le registrazioni delle scommesse. L’obiettivo è quello di realizzare vantaggi personali quali, ad esempio, il percepimento di bonus aziendali per l’aumento, fittiziamente creato, dei volumi di gioco (beneficio economico illegittimo “mascherato” da performance lavorativa). La società non ha procedure aziendali idonee a scongiurare un utilizzo fraudolento delle credenziali di accesso se non aver adottato elementari misure tecniche che, tuttavia, si rivelano insufficienti.
Ipotesi di responsabilità dell’ente e vantaggio
La condotta dei dipendenti origina una indagine e l’Autorità Giudiziaria opera il sequestro dei server e dei database centrali dell’azienda per verificare la tracciabilità delle operazioni e l’efficacia dei protocolli di sicurezza.
A seguito delle indagini la medesima autorità contesta alla Omega Dollar il reato presupposto di cui all’art. 24-bis, relativo ai delitti informatici e al trattamento illecito di dati non avendo adottato l’azienda un modello organizzativo idoneo a prevenire i reati informatici.
L’Autorità Giudiziaria, nello specifico, contesta la responsabilità amministrativa dell’ente ai sensi del D.Lgs. 231/01, sostenendo che il reato è stato commesso da soggetti sottoposti, la società non ha adottato un modello organizzativo contenente protocolli sufficienti per prevenire accessi non autorizzati, né ha previsto un adeguato sistema di audit log e di monitoraggio continuo, traendo così un vantaggio dalla condotta illecita dei propri dipendenti infedeli. In particolare, relativamente al vantaggio conseguito dall’azienda, esso viene individuato nell’ incremento artificioso dei volumi di gioco, con potenziali risvolti economici indiretti favoriti dalla condotta illecita.
Le conseguenze processuali
Al successivo processo alla Omega Dollar viene irrogata una sanzione pecuniaria (proporzionata alla gravità del fatto), la sanzione interdittiva della sospensione della licenza e la confisca del profitto del reato.
Conclusioni e possibili rimedi
Se Omega Dollar avesse adottato un Modello Organizzativo con procedure idonee alla prevenzione dei reati contestati ed avesse istituito un Organismo di Vigilanza, avrebbe potuto dimostrare di aver attuato le misure per prevenire il reato contestato ed andare così esente da responsabilità. Nel caso specifico avrebbe potuto dimostrare che il modello organizzativo adottato conteneva specifiche procedure di sicurezza quali il rafforzamento dei sistemi di autenticazione e profilazione degli accessi; la revisione dei protocolli informatici e delle procedure di segnalazione delle anomalie; il potenziamento dei flussi informativi verso l’Organismo di Vigilanza; l’istituzione di un programma di formazione obbligatoria per tutto il personale sui rischi informatici e sui reati presupposto di cui al D.Lgs. 231/01.

EMT/Agipro