Reato di frode informatica. L’avv. Caroppo (cons. As.Tro): "Con controlli IT efficaci e un Organismo di Vigilanza operativo le società di gioco eviterebbero responsabilità"

ROMA - Se una concessionaria ADM per scommesse sportive e casinò online avesse adeguato il proprio Modello Organizzativo alle esigenze di prevenzione del reato di frode informatica, coinvolgendo l’Organismo di Vigilanza nei controlli IT, avrebbe potuto prevenire il reato ed evitare responsabilità. È una delle conclusioni cui giunge l’avvocato Marco Caroppo, consulente di As.Tro, in un articolo pubblicato sul sito dell’associazione. Caroppo, che da luglio è entrato a far parte di As.tro-Confindustria SIT come consulente esperto in materia di responsabilità amministrativa degli enti ex D.Lgs. 231/2001 (sicurezza sul lavoro), ha illustrato gli strumenti di prevenzione dei reati previsti da tale normativa che possono essere adottati all’interno delle aziende, con approfondimenti specifici legati al settore del gioco pubblico. 

La società

La Omega Dollar S.r.l., concessionaria ADM per scommesse sportive e casinò on-line, possiede 300.000 conti di gioco attivi e un fatturato annuo di oltre 100 milioni di euro. La società – contrariamente ai casi qui trattati sino ad ora – ha adottato un Modello 231, aggiornato solo sporadicamente nel corso degli anni ed istituito un Organismo di Vigilanza interno a composizione monocratica.

Il fatto

Il responsabile IT, insieme a due sviluppatori informatici operanti per una società esterna, realizza un algoritmo che riesce ad introdurre nella piattaforma di gioco on-line in maniera occulta, alterando selettivamente le quote di alcuni eventi a vantaggio di conti riconducibili ai suoi complici. Tale condotta permette di generare illegittimamente vincite sistematiche, che risultano formalmente legittime, configurando così il reato di frode informatica (art. 640-ter c.p.). Il sistema illecito prevede l’alterazione delle quote solo per alcuni eventi selezionati e per uno spazio temporale predefinito, cosicché gli utenti effettuano le puntate a quote reali mentre gli artefici del sistema giocano a quote artatamente maggiorate, sfruttando l’alterazione del sistema informatico.

Il reato presupposto e l’indagine

A seguito di segnalazioni interne collegate ad anomalie rilevate dai sistemi informatici automatizzati, l’Autorità Giudiziaria procede al sequestro dei server aziendali e avvia accertamenti sulla tracciabilità delle operazioni e sull’efficacia dei protocolli di sicurezza. Alla società viene contestata la responsabilità ex D.Lgs. 231/01, poiché il Modello adottato risulta inadeguato a prevenire frodi informatiche, non contemplando procedure operative specifiche né controlli efficaci sugli accessi ai sistemi.

Inoltre, dall’analisi dei flussi informativi all’OdV risultava che il medesimo non ricevesse regolarmente i log, non avesse mai effettuato audit tecnici e che le anomalie sulle quote che talvolta venivano comunicate non fossero gestite attraverso una analisi specifica.

Vantaggio dell’ente

Il vantaggio conseguito dall’azienda viene individuato nell’incremento artificioso dei volumi di gioco, con conseguenti benefici economici indiretti, quali aumento del fatturato e l’aumento del valore della società. Inoltre, la società traeva un beneficio economico diretto ricollegabile ai margini sulle giocate, ancorché fraudolentemente pilotate.

Le conseguenze processuali

Al termine del procedimento, la società subisce:

·      sanzione pecuniaria, proporzionata alla gravità dei fatti;

·      sanzione interdittiva, consistente nella sospensione temporanea dell’attività online;

Conclusioni e possibili rimedi

Se la Omega Dollar avesse adeguato il proprio Modello Organizzativo alle specifiche esigenze di prevenzione del reato di frode informatica rafforzando, altresì, i flussi di comunicazione con l’OdV e quest’ultimo avesse effettuato specifici audit in ambito IT, avrebbe potuto dimostrare l’attuazione di misure idonee a prevenire il reato e ottenere l’esimente di responsabilità.

In particolare, le procedure di sicurezza e prevenzione avrebbero dovuto comprendere:

•    rafforzamento dei sistemi di autenticazione e profilazione degli accessi;

•    revisione dei protocolli informatici e delle procedure di segnalazione delle anomalie;

•    potenziamento dei flussi informativi verso l’OdV;

•    istituzione di un programma di formazione obbligatoria su rischi informatici e reati presupposto D.Lgs. 231/01;

•    audit IT da parte dell’OdV;

•    penetration test periodici per verificare l’integrità dei sistemi informatici.

Con l’attuazione di tali misure l’ente avrebbe potuto dimostrare che il reato non era ricollegabile a carenze organizzative dell’azienda ma all’iniziativa individuale (responsabile IT infedele) di un dipendente che avrebbe agito aggirando fraudolentemente le procedure previste.

RED/Agipro