In questo senso gli standard relativi alla sicurezza informatica, nelle varie sfaccettature esistenti, possono essere di valido aiuto per il rispetto della normativa esistente; in pratica, a mio sommesso parere, per esempio, l’applicazione della normativa ISO:27001-2005 sulla sicurezza informatica (ex BS-7799) non solo non è un “plus” rispetto alla esatta applicazione del D.Lgs. n.196/2003, ma dovrebbe costituire lo “schema portante” per la progettazione ed il controllo delle normative in materia (previo adattamento di alcune peculiarità della normativa, nata in ambiente di “common law”, alla struttura giuridica dei paesi di “civil law” come il nostro).

…segue…

Seguendo il medesimo criterio, lo standard PCI DSS potrebbe essere un valido aiuto per la corretta applicazione del D.Lgs n.231/2001 - che, per inciso, attualmente vede la propria applicazione più di ottanta ipotesi di reato, suddivise nelle seguenti categorie – :

1. Truffa, Peculato, Malversazione, Ecc. (reati Contro Stato)

2. Falsificazione Monete, Bolli, Ecc.

3. Reati Societari: False Comunicazioni, Aggiottaggio, Ecc.

4. Terrorismo

5. Mutilazioni, Schiavitù

6. Pedo-pornografia, Ecc.

7. Abuso Informazioni Previlegiate, Manipolazione Mercato, Ecc.

8. Omicidio Colposo, Lesioni Personali Colpose (sicurezza Sul Lavoro)

9. Ricettazione, Riciclaggio

10. Reati Transnazionali: Ricettazione, Riciclaggio, Ecc. Ecc.

11. Reati associativi di matrice mafiosa

12. Reati Informatici

13. Violazioni del diritto d’autore

14. Violazioni in materia di marchi, segni distintivi

15. Violazioni in materia turbativa dell’industria e del commercio: Turbata libertà dell’industria o del commercio, Illecita concorrenza con minaccia o violenza, Frodi contro le industrie nazionali, Frode nell’esercizio del commercio, Vendita di sostanze alimentari non genuine come genuine, Vendita di prodotti industriali con segni mendaci, Fabbricazione e commercio di beni realizzati usurpando titoli di proprietà industriale, Contraffazione di indicazioni geografiche o denominazioni di origine dei prodotti agro alimentari

 

Infatti, applicando i questionari di autovalutazione proposti dallo Standard in questione, da una parte ci si può accorgere dell’eventuale “GAP” tra quella che sarebbe la situazione ottimale (dovuta per legge) e quella che può essere riscontrata (e conseguentemente operare per eliminare tale “gap”), ed applicando i medesimi concetti ai flussi di informazioni propri del D.Lgs n.231/2001, si potrebbe:

a. Fotografare la situazione esistente

b. Evidenziare i gap esistenti

c. Procedere per eliminare tali gap

d. Analizzare nel tempo i progressi effettuati (raffrontando le diverse “snapshot” della situazione)

Troppo spesso, infatti, ci si dimentica che la c.d. “sicurezza informatica” prima di tutto è forte tanto quanto è forte l’anello più debole della catena, per cui:

a. da un punto di vista sia concettuale, sia legale, è molto meglio operare per “aumentare” la sicurezza complessiva della catena piuttosto che avere una situazione di sicurezza a “macchia di leopardo”, ovvero con zone iper sicure ed altre molto al di sotto di standard minimi e riconosciuti

b. la “sicurezza informatica” coinvolge numerosi “attori” del processo, non tutti sotto il diretto controllo dell’impresa, per cui occorre porre molta attenzione anche alla parte contrattuale, per la quale attraverso una serie di S.L.A. si dovrà pervenire da una parte ad un controllo / garanzia vicino alla perfezione del processo di trattamento dei dati e delle informazioni (ecco qui che ritorna il D.Lgs. n.196/2003) e dall’altra parte occorrerà non ingessare il procedimento nel complesso, onde evitare di inserire anche nei rapporti tra privati quella “burocrazia” della quale tanto ci si lamenta nei confronti dei soggetti pubblici.

 

E’ appena il caso di notare come la circostanza che siano stati inseriti praticamente tutti i reati informatici previsti dal Codice Penale nell’ambito della responsabilità amministrativa, in unione con quanto previsto dall’art.8 del D.Lgs n.231/2001 (ove non venga individuato il materiale esecutore del reato rimane responsabile l’impresa), a quanto previsto dal D.Lgs. n.196/2003, e non ultimo a quanto comunque prevede la Legge n.300/1970 (il c.d. Statuto dei Lavoratori), non possa portare che ad una soluzione: la materia deve essere esaminata e compresa nel complesso, non può essere affidata a più soggetti, perché solamente con una applicazione coordinata e corretta delle normative appena menzionate si potranno raggiungere gli obiettivi in precedenza indicati, ovvero contemporanea “compliance” con gli standard ai quali si è aderito e, soprattutto direi, prevenzione delle pesanti conseguenze connesse alla non corretta applicazione delle normative appena menzionate.