Posted by Avv. Antonio Carino, Studio Legale DLA Piper (ww.dlapiper.com)
Il D.L. 14 agosto 2013, n. 93, recante “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province” ed in vigore dal 17 agosto scorso, ha ulteriormente esteso il catalogo dei reati presupposto della responsabilità amministrativa da reato delle Società, ai sensi del D.lgs. 231/2001.
In particolare, l’articolo 9 del Decreto Legge ha inserito nell’art. 24 bis (rubricato, Delitti informatici e trattamento illecito di dati), comma 1, del D.lgs. n. 231/2001 i seguenti reati:
1. i delitti (ma non le contravvenzioni) in materia di violazione della privacy previsti dal D.lgs. n. 196/2003.
2. il reato di frode informatica aggravato dalla sostituzione dell’identità digitale ex art. 640 ter, III comma, c.p.;
3. l’indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento di cui all’art. 55 comma 9 del D.lgs. n. 231/2007.
In caso di commissione di tale reati, potranno essere applicate alle Società:
■ sanzioni pecuniarie da un minimo di cento ad un massimo di cinquecento quote (l’importo di ciascuna quota va da un minimo di euro 258 ad un massimo di euro 1.549) e
■ sanzioni interdittive (come l’interdizione dall’esercizio dell’attività, la sospensione o la
revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito, il divieto di pubblicizzare beni o servizi).
1. REATI RILEVANTI IN MATERIA DI PRIVACY
Più in dettaglio, i delitti in materia di privacy che potranno comportate una responsabilità della Società e previsti dal D.lgs. 196/2003 sono:
■ il trattamento illecito dei dati (art. 167): “Salvo che il fatto costituisca più grave reato, chiunque,
al fine di trarne per sé per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.”
■ la falsità nelle dichiarazioni notificazioni al Garante (art. 168): “Chiunque, nelle comunicazioni di cui all’articolo 32-bis, commi 1 e 8, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.”
■ l’inosservanza dei provvedimenti del Garante (art. 170). “Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.”
2. IL REATO DI FRODE INFORMATICA AGGRAVATO DALLA SOSTITUZIONE DELL’IDENTITÀ DIGITALE
Il Decreto Legge ha introdotto un’apposita aggravante ad effetto speciale al reato di frode informatica – già previsto nel nostro codice – introducendo il comma III nell’art. 640 ter c. p. che diviene rilevante anche ai sensi del D.lgs. 231/2001.
Ai sensi del testo novellato viene sanzionato con la reclusione da due a sei anni e della multa da euro 600 a euro 3.000, chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a
sé o ad altri un ingiusto profitto con altrui danno, qualora “il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti .”
3. L’INDEBITO UTILIZZO, FALSIFICAZIONE, ALTERAZIONE E RICETTAZIONE DI CARTE DI CREDITO O DI PAGAMENTO
Da ultimo, il Decreto Legge introduce quale reato presupposto della responsabilità amministrativa da reato il delitto previsto dal comma 9 del D.lgs. 231/2007 in forza del quale “Chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni e con la multa da 310 a 1.550 euro. Alla stessa pena soggiace chi, al fine di trarne profitto per sé o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi.”
***
La Suprema Corte di Cassazione, nella relazione n. III/01/2013 del 22 agosto 2013, ha già messo in evidenza che la configurazione della responsabilità da reato degli enti per l’illecito trattamento dei dati è “potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del D.lgs. n. 231/2001”.
E’, pertanto, fondamentale, che tutte le Società, a prescindere dal settore in cui operano, provvedano a svolgere le più opportune attività di risk assessment e, all’esito di tale attività, aggiornare tempestivamente i propri Modelli di Organizzazione, Gestione e Controllo in modo da prevenire la commissione dei nuovi reati rilevanti e, di conseguenza, l’irrogazione di eventuali sanzioni pecuniarie ed interdittive.
Per maggiori informazioni: raffaella.quintana@dlapiper.com, antonio.carino@dlapiper.com