Passa ai contenuti principali

In primo piano

La nuova prassi UNI/PdR 138:2023 – Indicazioni per l’adozione del modello organizzativo 231 nelle micro e piccole imprese

  1. Premessa Lo scorso 12 gennaio l’UNI – Ente Italiano di Normazione ha pubblicato la prassi UNI/PdR 138:2023 relativa alla predisposizione del “ Modello semplificato di organizzazione, gestione e controllo di cui al D. Lgs. 231/2001 per la prevenzione dei reati contro la Pubblica Amministrazione e dei reati societari nelle micro e piccole imprese ”. Il documento – che non ha carattere normativo – si rivolge a micro e piccole imprese [1] e contiene prescrizioni tecniche generali elaborate sulla scorta delle prassi organizzative e di controllo diffuse tra le aziende con tali caratteristiche dimensionali che operano nel territorio della Provincia autonoma di Trento, ente che ne ha promosso la realizzazione. Il gruppo di lavoro autore della nuova prassi propone indicazioni operative utili alla predisposizione di un MOGC “231” semplificato, ossia che nel rispettare i requisiti previsti dal D. Lgs. 231/2001 tenga conto dell’esigenza di doversi adattare alla struttura interna “minim

Cybersecurity, Industria 4.0. e Risk Assessment.





Premessa

Il ricorso alla digitalizzazione è sempre più frequente, nella vita professionale come in quella personale, portando con sé l’ovvia espansione del perimetro dello spazio cibernetico. 
Questo spiega perché la materia della cybersecurity – definita come l’insieme degli strumenti e delle competenze capaci di approntare livelli più o meno efficaci di sicurezza informatica – non possa più ritenersi un universo a sé stante, ma debba necessariamente essere gestita in interrelazione con le altre componenti della compliance aziendale, di cui il Modello 231 rappresenta certamente il principale esempio.
Inoltre, il tema della sicurezza informatica non può essere affrontato solo da punto di vista della condotta agente dell’impresa che compia atti di concorrenza sleale, ma anche dal punto di vista della prevenzione, poiché due sono i possibili fronti nei quali la materia può toccare dal vivo l’attività di impresa.

Industria 4.0 e lo spazio cibernetico. 

Prima ancora di comprendere come un’azienda possa adeguare il proprio assetto di rischio al contrasto di reati cibernetici, è essenziale comprendere cosa si intenda, nello specifico settore qui d’interesse, per “Industria 4.0”. 
L’individuazione del perimetro nozionistico di “Industria 4.0.”, infatti, permette di comprendere a fondo in quale spazio ci si debba muovere, da punto di vista della prevenzione e dal punto di vista della mitigazione del rischio. 
Il termine “Industria 4.0” è il nome della quarta rivoluzione industriale, che ha ad oggetto un processo di digitalizzazione teso verso processi di automazione sempre più stringenti. 
Tale percorso è stato certamente accelerato dal contesto pandemico e dal ricorso massivo allo smart working, che ,consentendo l’utilizzo di strumenti informatici, spesso in forma promiscua, per lo svolgimento delle normali attività lavorative comporta tutt’oggi un’espansione abnorme dello spazio cibernetico.
Si amplia quindi il raggio di esposizione alle attività degli hacker, sì, ma si estende anche l’area all’interno della quale può realizzarsi una disfunzione interna dell’attività di impresa, attraverso il principale veicolo aziendale degli incidenti informatici, ovvero il dipendente. 
L’attenzione, in questo punto, non va rivolta solo alla casistica, pur numerosa, relativa al dipendente infedele, ma anche, e per maggior rigore in termini di prevenzione, al dipendente inconsapevole, ovvero colui che non è stato adeguatamente responsabilizzato sull’utilizzo degli strumenti informatici e sui suoi possibili rischi operativi. 
Queste diverse componenti confluiscono tutte a definire l’ambito di azione di Industria 4.0, muovendosi dall’utilizzo del dato (attraverso i più essenziali strumenti di cloud o di Internet of Things), fino all’interlocuzione tra macchine e uomo, passando per l’analisi del dato (area di azione della materia relativa alla protezione dei dati personali coperta dal Regolamento Europeo GDPR).
La più recente tendenza di Industria 4.0 è rappresentata, infine, dal ritorno dal digitale al reale, attraverso la manifattura addittiva e la stampa 3D che danno la misura di come il processo di Industria 4.0 non è giù più un processo che verrà, ma è il processo nel quale siamo già completamente immersi. 
Questa premessa aiuta a comprendere come la materia della Cybersecurity sia legata a doppio filo alla logica della compliance aziendale del Modello 231, in quanto entrambe le materie condividono lo stesso principio di fondo: la mappatura dei processi di rischio. 

Incidenti informatici e Risk assessment.

Quanto detto sinora permette l’arretramento della soglia di interesse dalla contestazione di un reato informatico all’incidente informatico, ovvero la dispersione del dato che può essere impegnativa dal punto delle conseguenze per l’attività di impresa e per i soggetti terzi con i quali l’impresa stessa si misura. 
In questa logica, diviene centrale il processo di mappatura del rischio: assicurare l’azienda nell’ottica della minimizzazione del rischio di compimento di reati informatici, da un lato, e individuare i processi sensibili nell’ottica del compimento di fatti di reato, dall’altro. 
Sensibilizzare l’azienda per proteggerla da un’eventuale contestazione di reati informatici, ma ancora prima preservare l’attività di impresa e i suoi dati da un’eventuale dispersione degli stessi per mezzo di un incidente informatico. 
Diviene allora addirittura più importante approntare rimedi a questo genere di incidenti perché i dati gestiti da un’azienda rappresentano comunque il suo patrimonio: dati relativi ai dipendenti, dati relativi ai processi, dati relativi al know how aziendale, dati, insomma, capaci di caratterizzare un’azienda sul mercato rispetto ad un’altra. 
Ecco perché è interessante mettere l’accento sul recente ampliamento del catalogo dei reati informatici idonei a dar luogo a una responsabilità dell’ente: mentre, infatti, al momento della sua adozione il Modello 231 non prevedeva alcun riferimento ai reati informatici – introdotti poi solo nel 2008 con l’adesione alla Convenzione di Budapest -, la successive integrazioni originarie hanno riguardato solo la previsione della frode informatica ai danni degli enti pubblici. 
Oggi, invece, il D.lgs. 231/2001 prevede un novero abbastanza consistente di reati informatici idonei a fondare una responsabilità 231, novero che, peraltro, viene costantemente aggiornato com’è stato di recente con la previsione dei reati commessi mediante l’utilizzo di strumenti informatici. 
L’inserimento e l’attenzione ai reati informatici all’interno del Modello 231 rappresenta la ragione per la quale è necessario procedere ad un analisi del rischio, al fine di verificare se esistono zone grigie all’interno delle quali possono essere predisposte idonee misure di sicurezza. 
Tuttavia, è opinione di chi scrive che la misura di sicurezza rappresenti solo la punta dell’iceberg della misure in concreto da attuare, poiché queste devono necessariamente muoversi di pari passo con la sensibilizzazione del personale dell’impresa, con la diffusione della cultura della compliance all’interno delle dinamiche critiche dell’azienda, al fine di tutelare l’attività e il patrimonio dei dati gestiti dall’impresa. 
Consapevolezza e formazione divengono quindi un binomio inscindibile in questo ambito specifico e settoriale, per evitare di lasciare scoperte aree troppo ampie.
L’incidente informatico, nella realtà aziendale, infatti è molto frequente: non basta limitare il campo di attenzione all’ipotesi in cui una perdita di dati si sia verificata a causa dell’intenzionalità del soggetto agente, perché non tutte le condotte sono intenzionali, da questo punto di vista; ma, nell’ottica della compliance, bisogna arretrare il campo di indagine – e quindi di predisposizione di idonee misure – alle ipotesi di errore, dettato da leggerezza, insufficienza di informazioni o da mancanza di consapevolezza dei presidi e dei possibili rischi di alcuni azioni. 

Conclusioni.

Si è compreso, allora, quale sia l’importanza centrale della compliance in tema di cybersecurity e, di conseguenza, come divenga nevralgica una visione di insieme. In questa logica la materia si interseca con la mappatura dei processi per l’ambito della compliance 231: lo screening delle attività sensibili in tema di reati informatici porta a galla, inevitabilmente, anche le falle in termini di sicurezza cibernetica.
La compliance 231 diviene così un legante più ampio: il dato esperienziale dimostra che la materia della cybersecurity fornisce lo spunto per comprendere che non bisogna arrivare al reato informatico per predisporre uno strumento di tutela, ma si può prevenire e minimizzare i danni ancor prima che un danno si verifichi. 
Fondamentale è anche la formazione, necessariamente specifica e certificata e pianificata.
Solo attraverso questi strumenti è possibile superare l’idea che di informatica in azienda si occupi solo l’area IT, mettendo, invece, tutti i dipendenti nella condizione di affrontare la propria attività con consapevolezza, responsabilità e produttività.

Commenti

  1. AVVISO TRUFFA SU INTERNET‼️

    Internet oggi è pieno di ANNUNCI TRUFFA, per lo più nei commenti di vari siti e blog. Un gran numero di persone sono state vittime di truffe e hanno perso molti soldi a causa dei TRUFFATORI. La maggior parte delle truffe comuni che puoi vedere
    ❌TRUFFA PRESTITO BANCARIO. ❌TRUFFA INVESTIMENTI CRITTOGRAFICI.
    ❌TRUFFA DELLA LOTTERIA. ❌TRUFFA DI HACKING. e ho perso di più......

    ✳️La grande domanda è "Qualcuno può recuperare i propri soldi persi a causa di una truffa su Internet⁉️
    Dirò di sì e ti dirò come.

    L'unico modo per recuperare il tuo è assumere un hacker che ti aiuterà a riprenderti i tuoi soldi da questi truffatori e oggi è il tuo giorno fortunato, hai appena incontrato i ragazzi perfetti per il lavoro.

    CHI SIAMO❔
    Siamo PYTHONAX, un gruppo di hacker esperti e abbiamo dedicato il nostro tempo ad aiutare le persone a recuperare i loro soldi dai TRUFFATORI DI INTERNET. È stata condotta una ricerca per calcolare la quantità di denaro perso attraverso Scam ed è stato confermato che più di $ 3 miliardi di dollari all'anno.

    COME OPERIAMO❔
    Prima di tutto studiamo il truffatore portatoci hackerando il dispositivo della persona (telefono o computer) per ottenere informazioni su come, dove, questa persona conserva i soldi di cui è truffato (tanti di questi truffatori in realtà non risparmiano i soldi nelle banche, per lo più impilano il denaro in un portafoglio Bitcoin, in questo modo è sicuro e non è rintracciabile dalle autorità) e lavoriamo su una strategia per riavere i soldi e restituirli a chi hanno frodato.

    Contattarci è semplice, basta inviarci un messaggio tramite l'e-mail qui sotto.
    E-mail: PYTHONAXSERVICES@GMAIL.COM

    Se sei una vittima di una truffa su Internet o conosci qualcuno che lo è, contattaci immediatamente. Sei 💯% sicuro di contattarci, la nostra email è molto sicura.



    Forniamo anche servizi di hacking legittimi come:
    🔸Hacking/clonazione del telefono
    🔸Hacking e-mail e recupero password
    🔸Hacking dei social media e recupero della password
    🔸Recupero file cancellati 🔸Mobil Tracking
    🔸Rilevamento ed eliminazione dei virus. eccetera

    E-mail: PYTHONAXHACKS@GMAIL.COM




    Pythonax.
    2022 © Tutti i diritti riservati.

    RispondiElimina

Posta un commento

Post più popolari