SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Â
Le "best practices" per una adeguata compliance normativa a tutela dei propri investimenti
1. Titolo della presentazione
Le best practices per
unâadeguata compliance
normativa a tutela dei propri
investimenti
Relatori:
Piero Baldon, Nicola Gelmi
Stefano Neri, Luigi Rufo
2. Titolo della presentazione
Avv. Piero Baldon
Avvocato in Padova
Le best practices per unâadeguata
compliance normativa a tutela dei
propri investimenti
E-commerce: adeguamenti del sito
e della attivitĂ di prestazione di
servizi alle normative a tutela dei
destinatari e in particolare dei
consumatori alla luce del nuovo
d.lgs. n. 21/14
3. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Il prestatore di servizi âonlineâ è sottoposto alla direttiva 2000/31 adottata in Italia con il d.lgs n. 7003
Prestatore: persona fisica o giuridica che presta un servizio della societĂ dellâinformazione
Prestatore stabilito: colui che esercita effettivamente unâattivitĂ economica mediante una stabile organizzazione per un tempo indeterminato
Attenzione
la normativa si applica ad ogni forma di e-commerce, a prescindere da chi sia il destinatario dei servizi, ossia chi usa un servizio, in particolare per
ricercare o rendere accessibili informazioni.
ADEMPIMENTI
ART. 7 Informazioni generali obbligatorie, accessibili in modo permanente (generalitĂ , contatti ecc).
ART. 8 Obblighi di informazione per le comunicazioni commerciali contenute in unâinformativa immediata (provenienza, natura, ecc.)
ART. 12 Informazioni dirette alla conclusione di un contratto da fornirsi in modo chiaro, comprensibile ed inequivocabile prima dellâinoltro
dellâordine (fasi per la conclusione del contratto, modo di archiviazione, mezzi per correzione errori, codici di condotta, lingue oltre italiano,
strumenti di soluzione delle controversie)
ART. 13 Inoltro dellâordine. Accusare ricevuta senza ingiustificato ritardo dellâordine in via telematica, contenente il riepilogo delle condizioni
contrattuali e delle informazioni del bene (prezzo, mezzi di pagamento, recesso, costi di consegna, tributi)
Avv. Piero Baldon
Avvocato in Padova
4. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
IN CASO DI VIOLAZIONE DELLA NORMATIVA
Sanzioni amministrative: salvo reato, violazione artt. 7,8,9,10 e 12 comportano sanzione amministrativa da 103 a 10000 euro, raddoppiati in caso di gravitĂ o recidiva
E IL CONTRATTO?
Rimane valido, perchĂŠ ai sensi dellâart. 13, âLe norme sulla conclusione dei contratti si applicano anche nei casi in cui il destinatario di un bene o di un servizio della societĂ dell'informazione inoltri il proprio ordine per via
telematicaâ
ATTENZIONE
Le clausole vessatorie ex art. 1341 2° co. c.c. vanno approvate ugualmente per iscritto, anche se il destinatario non è consumatore
Avv. Piero Baldon
Avvocato in Padova
5. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Chi rivolge la vendita di prodotti o la prestazione di servizi a consumatori, è sottoposto anche al codice del consumo (d.lgs 2062005), ora modificato dal d.lgs n. 21 del 21 febbraio
2014 in attuazione della direttiva 1183.
Entrata in vigore
13 giugno 2014 per i contratti conclusi dopo tale data.
Avv. Piero Baldon
Avvocato in Padova
6. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
COSA CAMBIA?
Particolari maggiori informazioni prima della conclusione del contratto (indirizzo geografico, numero telefonico per un contatto rapido, modulo di recesso,
Prevalenza, in caso di conflitto, del codice del consumo rispetto al d.lgs 702003
Ordine con obbligo di pagare come dicitura obbligatoria sul tasto di ordine
In caso di contratto con telefono, vincolo per il consumatore solo dopo accettazione per iscritto dellâofferta ricevuta, anche con firma elettronica
14 giorni per esercitare il recesso, decorrenti in modo diverso a seconda di consegna di beni, frazionata o meno (immissione nel possesso, o di servizi (conclusione del contratto).
Avv. Piero Baldon
Avvocato in Padova
7. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Utilizzo di un modulo standard per lâesercizio del recesso o mediante
qualunque altra forma di comunicazione.
14 giorni per la restituzione della somma (salvo ritardo nella restituzione
del bene, da effettuarsi entro 14 giorni dalla comunicazione di recesso)
1 anno per esercitare il recesso in caso di mancata fornitura delle
informazioni relative
Divieto di imposizione di costi superiori a quelli sostenuti in caso di utilizzo
di metodi di pagamento alternativi
Passaggio del rischio al momento del possesso del bene in capo al
consumatore
Avv. Piero Baldon
Avvocato in Padova
8. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
GRAZIE PER LâATTENZIONE
Avv. Piero Baldon
Avvocato in Padova
9. Titolo della presentazione
Dott. Nicola Gelmi
E-Commerce e
Diritto dâautore
Le best practices per unâadeguata
compliance normativa a tutela dei
propri investimenti
10. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
La â legge 633/41â tutela secondo il
diritto dâautore
LA FORMA ESPRESSIVA di unâopera creativa per la
vita dellâautore e fino a 70 anni dalla sua morte.
DDott. Nicola Gelmi
11. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Dott. Nicola Gelmi
Quali sono gli elementi tutelati solitamente dal diritto dâautore
in una pagina web ?
Una pagina web è compilata in un apposito linguaggio che la rende visibile come normalmente ci
appare. Gli elementi che classicamente rientrano nella proprietĂ intellettuale sono :
Fotografie Immagini Musica Video Audio
Chi è lâautore?
Câè una licenza dâuso?
Posso usare questi elementi liberamente?
12. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
La proprietà intellettuale è una risorsa
Proteggere una pagina web vuol dire proteggere
un investimento
dellâazienda.
DDott. Nicola Gelmi
13. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
IL FRAMING - PARTE 1
Una pagina web è compilata in un apposito codice che viene interpretato dai browsers e ci
mostra la pagina come normalmente la vediamo.
Ecco un semplice esempio :
<!DOCTYPE HTML><html xmlns="http://www.a.org/414/xhtml" xml:lang="it-IT" lang="it-IT"
><head><link href=âFraming.htl" rel="canonical" />
Il framing consiste nellâinserire codice di una pagina in unâaltra, appropriandosi dei contenuti e non
permettendo allâutente di distinguere tra originale e copia.
DDott. Nicola Gelmi
14. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
IL FRAMING - PARTE 2
In ambito BtB questa condotta dovrĂ essere valuta nellâottica della concorrenza sleale perchĂŠ si sfrutta il lavoro altrui e si
induce confusione nellâutente.
Ai sensi della legge 633/41 con una recente sentenza (13 febbraio 2014 pronuncia C 466/12 ) la corte di giustizia dellâUnioneâ
Europea parla di violazione del diritto dâautore:
â..per ricadere nella nozione di ÂŤcomunicazione al pubblicoÂť (come definita dalla direttiva 2001/29) occorre che una
comunicazione [âŚ] riguardante le stesse opere della comunicazione iniziale ed effettuata in Internet come la comunicazione
iniziale, quindi con le stesse modalità tecniche, sia rivolta ad un pubblico nuovo, cioè ad un pubblico che i titolari del diritto
dâautore non abbiano considerato, al momento in cui abbiano autorizzato la comunicazione iniziale al pubblico.â
DDott. Nicola Gelmi
15. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
LINKING E DEEPLINKING â PARTE 1
La possibilità di linkare elementi è una delle peculiarità del web.
La sopracitata pronuncia della Corte di Giustizia dellâUnione riscrive lo scenario preesistente.
Per violare il diritto dâautore attraverso un link devono ricorrere due elementi :
1- Un pubblico nuovo, cioè non considerato dai detentori dei diritti alla prima comunicazione al pubblico dellâopera;
2- In secondo luogo il materiale linkato non deve essere liberamente disponibile allâutenza, quindi si deve generare un link
che aggiri misure di sicurezza o limitazioni.
DDott. Nicola Gelmi
16. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
LINKING E DEEPLINKING â PARTE 2
Il Deeplinking implica il collegamento ad una risorsa interna di un sito Web, non passando quindi da alcuna homepage.
La sentenza c-466/14 modifica anche questa condotta ma bisogna fare delle valutazioni specifiche :
1. Non linkando il sito, ma ad una risorsa interna, la gran parte degli altri contenuti potrebbero non venire visualizzati;
2. La presenza di banner pubblicitari potrebbe non essere proficua come normalmente accade, non passando dal sito
principale;
3. Questa condotta può sollevare le stesse problematiche del framing e a prescindere dalla punibilità sulla base della legge
633/41 può rilevare ai fini della concorrenza sleale.
DDott. Nicola Gelmi
17. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
COSA PROTEGGE LA P.I.?
Visto che le norme in questa materia sono molto carenti, e spesso mancano degli orientamenti
giurisprudenziali ben definiti la tutela da parte di unâimpresa deve passare da strumenti diversi :
⢠Proteggere la propria pagina web in modo tecnico, investendo sui responsabili Ict, impedendo atti non
autorizzati e aggiornando le tecnologie alla base della pagina ;
⢠Vietare esplicitamente determinate condotte, anche in presenza di disposizioni legislative non
chiarissime, per agevolare una futura azione di tutela;
⢠specie per quanto riguarda le opere fotografiche è obbligatorio indicare il nome di chi detiene i diritti di
utilizzazione economica,l'indicazione dell'anno di realizzazione della fotografia, e se la foto riproduce
un'opera d'arte il nome dell'autore dell'opera;
DDott. Nicola Gelmi
18. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
GRAZIE PER LâATTENZIONE
Dott. Nicola Gelmi
19. Titolo della presentazione
Dott. Luigi Rufo
Dottorando di ricerca
E-Commerce: privacy a
norma di legge
Le best practices per unâadeguata
compliance normativa a tutela dei
propri investimenti
20. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
In materia di e-commerce devono esser altresĂŹ rispettati il D. Lgs. 196/2003 ÂŤCodice in
materia di protezione dei dati personaliÂť e gli specifici provvedimenti e/o Linee guida
emanate dal Garante per la protezione dei dati personali.
E-Commerce: privacy a norma di legge
DATI
Dati Personali Dati Identificativi
Dati Sensibili
21. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Per un corretto e chiaro trattamento di DATI attraverso un sito web è necessario provvedere
alla redazione di due distinte informative, art. 13 del Codice Privacy.
E-Commerce: privacy a norma di legge
Policy privacy : Documento che informa gli utenti che accedono al sito internet
â
FinalitĂ
â
TitolaritĂ
â
ModalitĂ
â
Dati raccolti (es. Cookies)
Informativa : Documento da rilasciare allâ utente che fornisce i dati richiesti per fruire
di un servizio (es. Newsletter) o iscriversi allâarea riservata (es. per
concludere acquisti e/o scaricare materiale) âŚecc
22. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
ATTENTI AL COPIA / INCOLLA
Le finalitĂ e i dati richiesti devo rispettare i principi di pertinenza e non eccedenza.
Lâinformativa deve essere quanto piĂš specifica
sulla base delle esigenze del sito
SANZIONE : DA 6.000 A 36.000 euro
E-Commerce: privacy a norma di legge
23. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
I COOKIES E IL D. Lgs. 69/12
I Cookies sono file di testo che contengono brevi informazioni sulla navigazione effettuata dallâutente e utili ai providers, sia per migliorare lâuso del mezzo da parte dellâutente (es. salvataggio
password, contatore visualizzazione) sia per veicolare, sulla base dellâanalisi della navigazione, le offerte pubblicitarie.
Con il D. Lgs. 69/12 si passa da un sistema di Opt-out ad un sistema di Opt-it
Lâutente dovrĂ NECESSARIAMENTE esplicitare il proprio consenso allâutilizzo,
salvo che non siano necessarie alla prestazione del servizio richiesto.
E-Commerce: privacy a norma di legge
24. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
E-Commerce: privacy a norma di legge
Cookies Necessari : Essenziali per il corretto funzionamento del sito, scadono
solitamente alla chiusura del browser (c.d. di sessione).
- Non si richiede il consenso
Performance Cookies : Forniscono informazioni utili allâutente migliorando la
sua esperienza durante la navigazione. - Non si richiede
il consenso
Cookies Funzionali : Ricordano allâutente le scelte fatte o determinate
operazioni.
- Non si richiede il consenso
Cookies Pubblicitari : Usati per la profilazione degli utenti al fine di presentare
contenuti piĂš adatti ai loro interessi.
-Si richiede il consenso
25. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
CONSENSO
Il Consenso deve essere:
⢠specifico
⢠libero
⢠Informato
Per i ÂŤdati comuniÂť si richiede che sia documentato per iscritto ( es. flag apposita casella), per i ÂŤdati sensibiliÂť manifestato in forma scritta.
Importante: Tra i casi di esclusione del consenso abbiamo che esso non è necessario per eseguire obblighi derivanti da un contratto o per adempiere a
specifiche richieste dellâinteressato.
E-Commerce: privacy a norma di legge
26. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
COMUNICAZIONI COMMERCIALI TRAMITE E-MAIL
ÂŤAi trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l'art. 130, commi 1
e 2, del Codice, in base al quale l'utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo
del contraente o utente (c.d. opt-in).Âť
( Linee Guida Garante, doc. web n. 2542348)
Pertanto, senza il consenso preventivo non è possibile inviare comunicazioni promozionali con i predetti strumenti neanche
nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da
chiunque (es. PEC).
E-Commerce: privacy a norma di legge
27. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
SICUREZZA INFORMATICA
Lâart. 31 del Codice Privacy stabilisce che i dati personali devono essere custoditi e controllati sulla base: del progresso tecnologico, natura dei dati, specifiche
caratteristiche del trattamento.
Misure minime:
Art. 33 ď Trattamento senza lâausilio di strumenti informatici
Art. 34 ď Trattamento con lâausilio di strumenti informatici
E-Commerce: privacy a norma di legge
28. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
GRAZIE PER LâATTENZIONE
E-Commerce: privacy a norma di legge
29. Titolo della presentazione
Avv. Stefano Neri
Ordine degli Avvocati di Livorno
La responsabilitĂ
amministrativa dell'impresa
digitale nella commissione di
crimini informatici
Le best practices per unâadeguata
compliance normativa a tutela dei
propri investimenti
30. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Il D.Lgs. n. 231/2001 disciplina la responsabilitĂ amministrativa degli enti derivante
da illecito penale (cd. reato presupposto) commesso da insiders dell'impresa
nell'interesse o a vantaggio dell'impresa stessa.
Commissione di un illecito penale, artt. da 24 a 25-duodecies, solo espressamente
previsti (principio di legalitĂ ), ma tendenza del legislatore ad aumentare le ipotesi:
ad esempio crimini informatici e violazioni in materia di diritto d'autore.
SOCIETAS DELINQUERE POTEST?
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
31. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
⢠Responsabilità formalmente amministrativa, ma:
- competenza del giudice penale del reato presupposto;
- le regole procedurali del codice di procedura penale per quanto non previsto dal
D.Lgs. 231/2001;
- stesse garanzie per l'imputato nel procedimento penale del reato presupposto.
⢠Secondo la Corte di Cassazione sarebbe un tertium genus (Cass. Sez. 6, Sentenza n.
2251 del 05/10/2010).
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
32. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
AUTONOMIA DELLA RESPONSABILITA'
DELL'ENTE
L'ente sarĂ condannato anche se:
⢠il soggetto non è identificato;
⢠il soggetto non è imputabile a qualsiasi titolo (mancanza della capacità d'intendere e
di volere);
⢠il reato estinto per intervenuta amnistia (anche se il soggetto vuole rinunciare
allâamnistia);
⢠Non ammessa costituzione di parte civile nel procedimento 231 (Cass. Sez. 6 n. 2251
del 05/10/2010), ma possibilitĂ di chiedere il risarcimento in sede civile da parte del
danneggiato.
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
33. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
CRIMINI INFORMATICI
Art. 24
⢠Art. 640-ter c.p.: frode informatica commessa ai danni dello Stato o di altro ente pubblico
Art. 24-bis
⢠Art. 615-ter c.p. -------> Accesso abusivo ad un sistema informatico o telematico
⢠Art. 617-quater c.p. ---> Intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche.
⢠Art. 617-quinquies c.p. ---> Installazione di apparecchiature atte ad intercettare, impedire o
interrompere comunicazioni informatiche o telematiche.
⢠Art. 635-bis c.p. ----> Danneggiamento di informazioni, dati e programmi informatici.
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
34. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
⢠Art. 635-ter c.p. ----> Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo
Stato o da altro ente pubblico o comunque di pubblica utilitĂ
⢠Art. 635-quater c.p. ----> Danneggiamento di sistemi informatici o telematici.
⢠Art. 635-quinquies c.p. ---> Danneggiamento di sistemi informatici o telematici di pubblica utilità .
⢠Art. 615-quater c.p. ---> Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o
telematici.
⢠Art. 615-quinquies c.p. ---> Diffusione di apparecchiature, dispositivi o programmi informatici diretti
a danneggiare o interrompere un sistema informatico o telematico
⢠Art. 491-bis c.p. ---> Falsità ideologica o materiale aventi come oggetto documenti informatici.
⢠Art. 640-quinquies c.p. ---> Frode informatica del soggetto che presta servizi di certificazione di
firma elettronica.
Art. 25 â novies
Delitti in materia di violazione di diritto dâautore
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
35. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Esempio I
Un dirigente della srl giĂ esistente che svolge attivitĂ di e-commerce, intende
ottenere i benefici previsti dalla legge riservate alle start up innovative.
La domanda per chiedere lâiscrizione nella sezione speciale presso la Camera
di Commercio, e corredata dei relativi documenti, viene compilata in forma
telematica con firma digitale ed inviata ai vari enti della P.A. competenti. I
documenti contenenti le informazioni specifiche in merito agli investimenti
per ricerca e sviluppo ed ai titoli di studio dei soci sono modificati di modo da
ottenere i benefici previsti per legge.
Reati ipotizzati:
Art. 491-bis c.p. ----> FalsitĂ ideologica o materiale aventi come oggetto
documenti informatici.
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
36. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Esempio II
Il dipendente della spa che svolge attivitĂ di e-commerce, infetta con un
malware un computer usato da unâimpresa concorrente alterando i dati degli
ordini ricevuti e distruggendo la gran parte della documentazione presente nei
server aziendali
Reati ipotizzati:
Art. 615-ter c.p. ----> Accesso abusivo ad un sistema informatico o telematico
Art. 635-bis c.p. ----> Danneggiamento di informazioni, dati e programmi
informatici.
Art. 635-quater c.p. ----> Danneggiamento di sistemi informatici o telematici.
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
37. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
SOGGETTI
⢠SI - Enti forniti di personalità giuridica, società di persone o di capitali (snc, sas, srl,
spa, et cetera), associazioni non riconosciute
⢠NO - imprese individuali (divieto di analogia in malam partem, Cass. Sez. 6,
Sentenza n. 18941 del 03/03/2004, confermata nel 2012, difforme 2011).
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
38. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
REQUISITI
PROFILO OGGETTIVO
Il reato deve essere commesso nell'interesse o a vantaggio dell'ente. Non
responsabile l'ente, se l'insider ha agito nell'interesse esclusivo proprio o di terzi,
ma attenzione;
⢠sussiste la responsabilità da reato dell'ente qualora la persona giuridica abbia
avuto un interesse anche solo concorrente con quello dell'insider alla
commissione del reato presupposto (Cass. Sez. 6, Sentenza n. 24559 del
22/05/2013).
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
39. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
REQUISITI
PROFILO SOGGETTIVO
1)Persone che rivestono posizione apicale (dirigenti, amministratori, rappresentanti,
anche compiti di gestione de facto)
2)Persone sottoposte alla direzione o alla vigilanza di uno dei precedenti soggetti.
- Fatto commesso da terzi nell'interesse o a vantaggio dell'ente? Nessuna
responsabilitĂ , non possibilitĂ di controllo.
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
40. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
1)Persone che rivestono posizione apicale.
Presunzione di colpevolezza non assoluta, inversione dell'onere probatorio
Dal principio di innocenza al principio di colpevolezza
L'ente è esente da personalità :
⢠se prova di aver adottato ed efficacemente attuato, prima della commissione del
reato, modelli di organizzazione e di gestione idonei a prevenire reati della stessa
specie di quello per cui si procede (valutazione ex ante, probatio diabolica);
⢠soggetto terzo autonomo responsabile, o viceversa esente da responsabilità (ODV);
⢠elusione fraudolenta dei modelli di organizzazione e di gestione.
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
41. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
MODELLI DI ORGANIZZAZIONE E DI GESTIONE
Compliance programs della Governance aziendale
⢠individuare le attività nel cui ambito possono essere commessi reati (risk assessment)
⢠protocolli specifici diretti a programmare formazione e attuazione delle decisioni in relazione ai reati da
prevenire (risk management);
⢠gestione delle risorse finanziarie idonee per impedire reati;
⢠obblighi di informazione nei confronti dell'organismo autonomo (ODV);
⢠sistema disciplinare idoneo.
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
42. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
2)Persone sottoposte alla direzione o alla vigilanza.
L'ente è responsabile se la commissione del reato dipende da un deficit
organizzativo, di controllo, inosservanza degli obblighi di direzione e
vigilanza.
L'ente è esente da personalità :
⢠se prova di aver adottato ed efficacemente attuato, prima della
commissione del reato, modelli di organizzazione e di gestione e di
controllo idonei a prevenire reati della stessa specie di quello per cui si
procede (valutazione ex ante, probatio diabolica).
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
43. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
MODELLI DI ORGANIZZAZIONE, DI GESTIONE E DI CONTROLLO
Compliance programs del personale dipendente
Il modello prevede misure idonee a garantire lo svolgimento dellâattivitĂ , nel rispetto della legge e
a scoprire ed eliminare tempestivamente situazioni di rischio, in relazione a:
-natura
-dimensione
-tipo di attivitĂ svolta
Inoltre:
⢠aggiornamento del modello quando sono scoperte significative violazioni delle prescrizioni
ovvero quando intervengono mutamenti nell'organizzazione o nell'attivitĂ (follow â up);
⢠un sistema disciplinare idoneo
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
44. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
SANZIONI APPLICABILI
Cosa rischia lâimpresa
1) Sanzione pecuniaria.
2) Sanzioni interdittive / commissario giudiziale
3) Confisca
4) Pubblicazione della sentenza di condanna (facoltativa, e solo se applicata una
sanzione interdittiva)
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
45. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
1)Sanzione pecuniaria
Si applica sempre. Sanzione calcolata âper quoteâ.
1 quota ---> da ⏠258,23 a ⏠1.549,37
Minimo 100 quote, Massimo 1.000 quote
⢠Quante quote:
Il giudice determina il numero delle quote tenendo conto di:
- gravitĂ del fatto;
- grado della responsabilitĂ ' dell'ente;
- attivitĂ svolta per eliminare o attenuare le conseguenze del fatto e per prevenire la
commissione di ulteriori illeciti.
⢠Quanto la singola quota:
Il giudice determina la singola quota sulla base delle condizioni economiche e patrimoniali dell'ente
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
46. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Casi di riduzione della sanzione
- ½, MAX 100.000 âŹ
⢠reato commesso nel prevalente interesse proprio o di terzi e per l'ente nessun
vantaggio oppure vantaggio minimo;
⢠danno patrimoniale di particolare tenuità ;
da â 1/3, a - ½, se prima del processo
⢠danno risarcito integralmente, e adoperato per eliminare le conseguenze
dannose o pericolose del reato;
⢠modello organizzativo idoneo a prevenire reati della specie di quello
verificatosi.
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
47. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
2)Sanzioni interdittive
- Interdizione dall'esercizio dell'attivitĂ .
- Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali alla
commissione dell'illecito.
- Divieto di contrattare con la P.A. (eccezione prestazioni di un pubblico servizio).
- Esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca
di quelli giĂ concessi.
- Divieto di pubblicizzare beni o servizi.
Durata
MINIMO tre mesi, MASSIMO due anni
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
48. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Carattere particolarmente afflittivo
l'applicazione è sottoposta a rigide condizioni
⢠espressamente previste per quel reato;
⢠profitto di rilevante entità e reato commesso da soggetti in posizione apicale ovvero da
dipendenti, se gravi carenze organizzative, oppure
⢠reiterazione degli illeciti.
Non si applicano se:
⢠reato commesso nel prevalente interesse proprio o di terzi e per l'ente nessun vantaggio
oppure vantaggio minimo;
⢠danno patrimoniale di particolare tenuità .
Commissario giudiziale
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
49. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
3)Confisca.
Nei confronti dell'ente è sempre disposta, con la sentenza di condanna, la
confisca del prezzo o del profitto del reato, salvo che per la parte che può essere
restituita al danneggiato. Sono fatti salvi i diritti acquisiti dai terzi in buona fede.
Quando non possibile, confisca di:
⢠somme di denaro;
⢠beni;
⢠altre utilità di valore equivalente al prezzo o al profitto del reato.
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
50. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
MISURE CAUTELARI
E' incentrato sull'utilizzo delle sanzioni interdittive. Esigenza cautelare del pericolo di reiterazione di reati della
stessa indole.
Gravi indizi di reato a carico dell'ente (requisiti oggettivi e soggettivi)
+
concreto pericolo di reiterazione
Ed inoltre:
⢠espressamente previste per quel reato;
⢠Discrezione sull'applicazione di misure cautelari ----> art. 275 c.p.p., idoneità , proporzionalità e
adeguatezza della misura.
⢠L'interdizione dell'attività solo come extrema ratio.
⢠Possibilità di sospendere la misura cautelare: l'ente chiede di poter realizzare gli adempimenti riparatori e
organizzativi cui la legge condiziona l'esclusione delle sanzioni interdittive.
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
51. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Il Modello 231 ÂŤtailoredÂť
Fonti
⢠Codice di Autodisciplina di Borsa Italiana SpA;
⢠Linee Guida di Confindustria;
⢠indagine condotta dal Comitato per l'Area D.Lgs 231/2001
dell'Associazione Italiana Internal Auditors (AIIA);
⢠CoSO I, II e III (Commitee of Sponsoring Organizations of the Treadway
Commission);
⢠principi di revisione ISA ( International Standards on Auditing)
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
52. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Organismo di Vigilanza
⢠Autonomia ď delega di funzioni piena ed incondizionata
⢠Indipendenza
⢠Dotato di un proprio budget di spesa
⢠Dotato di strumenti adeguati per eseguire la vigilanza ď professionalitĂ
⢠Definizione delle attivitĂ dellâODV
⢠Comunicazione ordinaria da/verso ODV
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
53. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Le fasi
1. Risk assessment (Analisi del rischio)
ď. Individuazione e mappatura aree di rischio
ď. Organigramma funzionale, deleghe e procedure esistenti
ď. Codice Etico e sanzioni disciplinari
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
54. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
2. Risk management (Gestione del rischio)
ď. Protocolli specifici (scopo preventivo)
ď. Monitoraggio
ď. Follow-up
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
55. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
Aspetti critici
⢠Requisiti soggettivi
Dipendenti, lavoratori subordinati, ma lavoratori autonomi o parasubordinati (es. partite iva,
contratto a progetto)?
⢠Conciliare modelli di organizzazione e prevenzione con il divieto di controllo a distanza dei
lavoratori previsto dall'art. 4 L. 300/1970:
ď Misure di sicurezza
ď Controllo ÂŤdirettoÂť No (Sniffing, Wiretapping); controllo ÂŤindirettoÂť Si (black list,
download/upload)
ď Notifiche di avviso di operazioni sospette?
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
56. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
⢠Aspetto della logistica
Inventario dei beni, movimentazione merci, sicurezza dei lavoratori
⢠Il colpo tentato (D.L. n. 93/2013)
ď Delitti ex art. 55, comma 9, D.Lgs. n. 231/2007
ď Delitti Parte III, Titolo III, Capo II, D.Lgs. n. 196/2003 (es. spamming): Data Protection
Officer / Privacy Officer
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici
57. Titolo della presentazione
Le best practices per unâadeguata compliance normativa a tutela dei propri investimenti
GRAZIE PER LâATTENZIONE
La responsabilitĂ amministrativa dell'impresa
digitale nella commissione di crimini informatici