I delitti sulla privacy, la frode informatica con sostituzione dell’identità digitale e l’indebito utilizzo e falsificazione di carte di credito entrano a far parte del catalogo dei reati che fanno scattare la responsabilità delle società a norma del Dlgs 231/2001. A prevederlo è l’articolo 9 del Dl 14/8/2013, n. 93 contenente disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere.
Ma se l’introduzione dei reati di frode informatica e di contraffazione di carte di credito non comporta per le aziende importanti conseguenze sotto il profilo operativo, i delitti in materia di privacy risultano di grande impatto, soprattutto per la configurazione della responsabilità per l’illecito trattamento dei dati, violazione potenzialmente in grado di interessare l’intera platea delle società commerciali.
A evidenziare questa circostanza è la Corte di Cassazione , con la recente relazione III/01/2013 del 22/8/2013 che ha fornito una prima interpretazione sulle novità apportate dal citato Dl 93/2013.
Le nuove norme
L’articolo 9 ha innanzitutto introdotto una nuova aggravante ad effetto speciale del delitto di frode informatica (640–ter del codice penale) nel caso in cui il fatto venga commesso con sostituzione dell’identità digitale in danno di uno o più soggetti.
La pena prevista è la reclusione da due a sei anni di reclusione e da 600 a 3.000 euro di multa. Scopo normativo, secondo la relazione della Cassazione, è l’ampliamento della tutela dell’identità digitale per aumentare la fiducia dei cittadini nell’utilizzazione dei servizi online e porre un argine al fenomeno delle frodi realizzate mediante il furto di identità.
La medesima norma ha poi inserito detto reato di frode informatica, aggravato dalla sostituzione dell’identità digitale, l’indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento (articolo 55 comma 9 del Dlgs 231/2007), nonché i delitti (ma non le contravvenzioni) in materia di violazione della privacy previsti dal Dlgs 196/2003 – e cioè le fattispecie di trattamento illecito dei dati, di falsità nelle dichiarazioni notificazioni al Garante e di inosservanza dei provvedimenti del Garante – nel catalogo dei reati che fanno scattare la responsabilità degli enti a norma del Dlgs 231/2001.
Le conseguenze pratiche
Tutte le imprese che hanno già adottato modelli organizzativi a norma del Dlgs 231/2001 per prevenire le sanzioni in caso di commissione dei reati che comportano appunto la responsabilità dell’ente (reati fonte) ovvero quelle che, in futuro, intendono predisporre tali modelli, dovranno ora prevedere anche le misure organizzative e di prevenzione per questi nuovi delitti.
Come segnala la Cassazione, se gli aggiornamenti in materia di frode informatica e contraffazione di carte di credito non paiono destinati ad assumere particolare rilevanza in sede applicativa, la previsione dei delitti in tema di privacy risulta invece di grande impatto, soprattutto per la configurazione della responsabilità da reato per l’illecito trattamento dei dati. Si tratta di violazioni potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del Dlgs 231/2001.
In assenza di tali modelli preventivi, ovvero se erano stati predisposti in modo inadeguato, qualora i vertici dell’impresa dovessero commettere uno dei delitti previsti in materia di privacy, la società sarà soggetta ad una sanzione da 100 a 500 quote. Non proprio una multa da divieto di sosta, considerato che una quota singola può variare da un minimo di 258 fino a un massimo di 1.549 euro.