Avvocato Accanto Corporate è il tuo studio legale on demand CHIEDI UN CONTATTO
PERSONE FISICHE
Interviste

Cyber crime: come prevenire i rischi

02 aprile 2025
di Il Team di Avvocato Accanto Corporate

Nel nostro precedente articolo, abbiamo analizzato l’impatto crescente del cybercrime sulle aziende, evidenziando le minacce più diffuse e le conseguenze economiche e operative di un attacco informatico. I dati dimostrano come la sicurezza digitale non sia più solo una questione tecnica, ma un fattore strategico essenziale per la protezione del business.

In questo nuovo approfondimento, ci concentreremo sulle misure concrete che le imprese possono adottare per prevenire e gestire i rischi cyber. Quali strumenti legali e organizzativi possono rafforzare la sicurezza aziendale? Quali strategie permettono di ridurre l’esposizione alle minacce informatiche? Scopriamolo insieme.

 

1.Il Modello 231: come prevenire e gestire i rischi connessi ai reati informatici

 

Il Modello Organizzativo 231 rappresenta un importante strumento per le aziende nell'affrontare e prevenire i rischi connessi ai reati informatici. Questo modello, regolamentato dal decreto legislativo 231/01, impone alle aziende di adottare misure preventive e gestionali per prevenire la commissione di reati all'interno dell'organizzazione, inclusi quelli legati al cybercrime.

Per prevenire i rischi connessi ai reati informatici, le aziende devono sviluppare un effettivo sistema di gestione della sicurezza, volto anche alla prevenzione, deterrenza, contenimento e risposta delle condotte umane illecite che configurano i reati presupposto legati alla sicurezza informatica (art. 24bis D.Lgs. 231/2001).

Le imprese dovranno verificare che il loro stato in tema di ICT Security Governance & Management sia tale da aspirare al riconoscimento dell’esimente dalla responsabilità prevista dal decreto 231 in caso di commissione di un delitto informatico al loro interno. Si tratta, in altre parole, di verificare che le misure di sicurezza preventive e di controllo implementate siano idonee a evitare la commissione dei reati informatici.

La prevenzione dei crimini informatici deve essere svolta attraverso adeguate misure organizzative, tecnologiche e normative, sotto il controllo dell’Organismo di Vigilanza. Secondo le più recenti Linee Guida di Confindustria, in particolare, dovrebbero essere previsti almeno i seguenti controlli di carattere generale:

  • un idoneo sistema di sanzioni disciplinari (o vincoli contrattuali nel caso di terze parti) a carico dei dipendenti (o altri destinatari del modello) che violino in maniera intenzionale i sistemi di controllo o le indicazioni comportamentali forniti;
  • adeguati strumenti tecnologici (es. software) atti a prevenire e/o impedire la realizzazione di illeciti informatici da parte dei dipendenti e in particolare di quelli appartenenti alle strutture aziendali ritenute più esposte al rischio;
  • programmi di informazione, formazione e sensibilizzazione rivolti al personale al fine di diffondere una chiara consapevolezza sui rischi derivanti da un utilizzo improprio delle risorse informatiche aziendali;
  • idonee clausole nei contratti conclusi con i provider di servizi legati all’Information Technology.

 

Il processo che porta allo sviluppo di tale sistema non può essere legato solo alla tecnologia, ma deve includere anche l’analisi del fattore umano.

È molto importante, ad esempio, sviluppare una cultura della sicurezza informatica a tutti i livelli dell'organizzazione e fornire una formazione adeguata ai dipendenti, affinché siano consapevoli delle minacce informatiche e delle misure implementate dalla società per proteggere i dati aziendali.

Dal punto di vista tecnologico, invece, è opportuno che l'azienda implementi una serie di misure tecniche per garantire la sicurezza dei propri sistemi informatici. Ciò include l'utilizzo di software antivirus e firewall aggiornati, l'adozione di politiche di gestione delle password sicure e la crittografia dei dati sensibili. È inoltre consigliabile effettuare regolari backup dei dati e testare la robustezza dei sistemi per individuare eventuali vulnerabilità.

In caso di violazione della sicurezza informatica, è importante che l'azienda abbia un piano di risposta agli incidenti in atto. Questo piano dovrebbe comprendere la segnalazione dell'incidente alle autorità competenti, la mitigazione dei danni, la comunicazione interna ed esterna e l'implementazione di misure correttive per prevenire futuri attacchi.

 

2.Che cosa possiamo fare noi?

 

La gestione e mitigazione del rischio informatico, dunque, passa attraverso la previsione di un sistema di gestione e di protocolli specifici per la prevenzione dei reati informatici.

Per poter costruire un adeguato sistema di gestione dei rischi informatici, in primo luogo, è opportuno identificare:

  • quali reati possono essere configurabili all’interno della realtà aziendale;
  • quali sono le attività sensibili, ovvero le attività in cui può essere commesso uno dei reati identificati come potenzialmente realizzabili.
  • quali azioni la società può adottare per ridurre il rischio di reati: attraverso ad esempio procedure, misure di sicurezza o implementazione di sistemi di gestione.

Tra le azioni che una Società può, dunque, adottare per la gestione dei rischi informatici ricordiamo i seguenti:

Ruoli e responsabilità

La definizione di appropriati ruoli e responsabilità, in materia di sicurezza delle informazioni, è un elemento imprescindibile per garantire l’effettività della gestione di efficaci processi preventivi.

In particolare, è opportuno che:

  • siano identificati e definiti i processi di sicurezza delle informazioni;
  • sia identificato un responsabile per ciascun processo di sicurezza delle informazioni;
  • siano definiti e documentati i livelli di autorizzazione agli accessi;

I soggetti designati devono essere competenti e soggetti a formazione e aggiornamento costante.

La separazione dei compiti, poi, deve essere effettiva e reale e non rappresentare soltanto una “facciata”. Particolare importanza deve essere rivolta alle aree di processo che presentano alti fattori di rischio (quali, ad esempio, ruoli di amministrazione di sistema e gestione delle reti, area dei servizi di manutenzione tecnologica dei sistemi e delle reti, gestione del processo di security).

È inoltre fondamentale tenere sotto controllo anche i fornitori esterni che possono avere impatti in relazione alla sicurezza delle informazioni.

 

Formazione in materia di sicurezza delle informazioni

Al fine di ridurre i rischi legati alla sicurezza informatica, è opportuno che la società preveda un’adeguata formazione/informazione dei dipendenti e, se del caso, dei fornitori, ciò al fine di renderli consapevoli delle loro responsabilità per la sicurezza delle informazioni e dei mezzi con cui tali responsabilità vengono assolte.

La formazione sul punto dovrebbe essere regolare e aggiornata, comprendendo anche le nozioni apprese dagli incidenti in ambito di sicurezza delle informazioni.

 

Protocolli specifici

È opportuno che la società preveda anche protocolli specifici per la prevenzione dei reati presupposto verificabili nello svolgimento delle proprie attività.

Un’utile guida da seguire per la creazione dei protocolli di prevenzione è offerta dagli standard ISO 27001[1] .

Secondo tale norma e le relative linee guida di implementazione, la società dovrebbe dotarsi almeno dei seguenti protocolli:

  • Gestione degli asset: la società deve identificare gli asset rilevanti nel ciclo di vita delle informazioni e documentare la loro importanza, considerando anche i supporti rimovibili. È opportuno, inoltre che siano fissate regole per l’uso e successiva restituzione degli asset.
  • Controllo degli accessi: è opportuno, poi, definire una policy di controllo degli accessi alle informazioni della società, da rendere nota agli utenti interni ed ai fornitori di servizi.
  • Sicurezza fisica e ambientale: L’è opportuno proteggere le aree che contengono informazioni sensibili o critiche e le strutture di elaborazione delle informazioni.
  • Controlli operativi: la società dovrebbe fissare una serie di controlli operativi aventi ad oggetto i processi critici per la sicurezza delle informazioni. Ad esempio, dotandosi di procedure per il controllo: dell’installazione e la configurazione dei sistemi; dell’elaborazione e gestione delle informazioni sia automatizzata che manuale; dei backup; della gestione di errori o degli incidenti; della gestione dei cambiamenti rilevanti per la sicurezza delle informazioni; della protezione dai malware; della gestione della rete; della gestione del trasferimento delle informazioni; dei fornitori.

 

Aggiornamento delle procedure e dei controlli

Un aspetto molto importante è quello dell’aggiornamento delle procedure e dei controlli operativi, utile al fine di assicurare l’adeguatezza ed efficacia delle misure adottate per la prevenzione dei reati informatici.

La revisione e l’aggiornamento delle policy e dei controlli dovrebbe prendere in considerazione anche la valutazione delle opportunità di miglioramento e la necessità di modifiche all’approccio alla sicurezza, inclusi gli obiettivi della politica e del controllo.

 

 __________

Note:

[1] Sistemi di gestione per la sicurezza delle informazioni e ISO 27002 - –– Linee guida per l’implementazione di sistemi di gestione per la sicurezza delle informazioni;

annulla