View
376
Download
1
Category
Preview:
Citation preview
Titolo della presentazione
Le best practices per un’adeguata compliancenormativa a tutela dei propri investimenti
Relatori:Piero Baldon, Nicola GelmiStefano Neri, Luigi Rufo
Titolo della presentazione
Avv. Piero Baldon Avvocato in Padova
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
E-commerce: adeguamenti del sito e della attività di prestazione di servizi alle normative a tutela dei destinatari e in particolare dei consumatori alla luce del nuovo d.lgs. n. 21/14
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Il prestatore di servizi “online” è sottoposto alla direttiva 2000/31 adottata in Italia con il d.lgs n. 70\03Prestatore: persona fisica o giuridica che presta un servizio della società dell’informazionePrestatore stabilito: colui che esercita effettivamente un’attività economica mediante una stabile organizzazione per un tempo indeterminato
Attenzione
la normativa si applica ad ogni forma di e-commerce, a prescindere da chi sia il destinatario dei servizi, ossia chi usa un servizio, in particolare per ricercare o rendere accessibili informazioni.
ADEMPIMENTI
ART. 7 Informazioni generali obbligatorie, accessibili in modo permanente (generalità, contatti ecc).ART. 8 Obblighi di informazione per le comunicazioni commerciali contenute in un’informativa immediata (provenienza, natura, ecc.)ART. 12 Informazioni dirette alla conclusione di un contratto da fornirsi in modo chiaro, comprensibile ed inequivocabile prima dell’inoltro dell’ordine (fasi per la conclusione del contratto, modo di archiviazione, mezzi per correzione errori, codici di condotta, lingue oltre italiano, strumenti di soluzione delle controversie)ART. 13 Inoltro dell’ordine. Accusare ricevuta senza ingiustificato ritardo dell’ordine in via telematica, contenente il riepilogo delle condizioni contrattuali e delle informazioni del bene (prezzo, mezzi di pagamento, recesso, costi di consegna, tributi)
Avv. Piero Baldon Avvocato in Padova
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
IN CASO DI VIOLAZIONE DELLA NORMATIVA
Sanzioni amministrative: salvo reato, violazione artt. 7,8,9,10 e 12 comportano sanzione amministrativa da 103 a 10000 euro, raddoppiati in caso di gravità o recidiva
E IL CONTRATTO?
Rimane valido, perché ai sensi dell’art. 13, “Le norme sulla conclusione dei contratti si applicano anche nei casi in cui il destinatario di un bene o di un servizio della società dell'informazione inoltri il proprio ordine per via telematica”
ATTENZIONE
Le clausole vessatorie ex art. 1341 2° co. c.c. vanno approvate ugualmente per iscritto, anche se il destinatario non è consumatore
Avv. Piero BaldonAvvocato in Padova
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Chi rivolge la vendita di prodotti o la prestazione di servizi a consumatori, è sottoposto anche al codice del consumo
(d.lgs 206\2005), ora modificato dal d.lgs n. 21 del 21 febbraio 2014 in attuazione della direttiva 11\83.
Entrata in vigore
13 giugno 2014 per i contratti conclusi dopo tale data.
Avv. Piero BaldonAvvocato in Padova
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
COSA CAMBIA?
Particolari maggiori informazioni prima della conclusione del contratto (indirizzo geografico, numero telefonico per un contatto rapido, modulo di recesso,
Prevalenza, in caso di conflitto, del codice del consumo rispetto al d.lgs 70\2003
Ordine con obbligo di pagare come dicitura obbligatoria sul tasto di ordine
In caso di contratto con telefono, vincolo per il consumatore solo dopo accettazione per iscritto dell’offerta ricevuta, anche con firma elettronica
14 giorni per esercitare il recesso, decorrenti in modo diverso a seconda di consegna di beni, frazionata o meno (immissione nel possesso, o di servizi (conclusione del contratto).
Avv. Piero BaldonAvvocato in Padova
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Utilizzo di un modulo standard per l’esercizio del recesso o mediante qualunque altra forma di comunicazione.
14 giorni per la restituzione della somma (salvo ritardo nella restituzione del bene, da effettuarsi entro 14 giorni dalla comunicazione di recesso)
1 anno per esercitare il recesso in caso di mancata fornitura delle informazioni relative
Divieto di imposizione di costi superiori a quelli sostenuti in caso di utilizzo di metodi di pagamento alternativi
Passaggio del rischio al momento del possesso del bene in capo al consumatore
Avv. Piero BaldonAvvocato in Padova
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
GRAZIE PER L’ATTENZIONE
Avv. Piero BaldonAvvocato in Padova
Titolo della presentazioneDott. Nicola Gelmi
E-Commerce e Diritto d’autore
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
La “ legge 633/41” tutela secondo il diritto d’autore LA FORMA ESPRESSIVA di un’opera creativa per
la vita dell’autore e fino a 70 anni dalla sua morte.
DDott. Nicola Gelmi
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Dott. Nicola Gelmi
Quali sono gli elementi tutelati solitamente dal diritto d’autore in una pagina web ?
Una pagina web è compilata in un apposito linguaggio che la rende visibile come normalmente ci appare. Gli elementi che classicamente rientrano
nella proprietà intellettuale sono :
Fotografie Immagini Musica Video Audio
Chi è l’autore?
C’è una licenza d’uso?
Posso usare questi elementi liberamente?
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
La proprietà intellettuale è una risorsa
Proteggere una pagina web vuol dire proteggere
un investimento
dell’azienda.
DDott. Nicola Gelmi
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
IL FRAMING - PARTE 1
Una pagina web è compilata in un apposito codice che viene interpretato dai browsers e ci mostra la pagina come normalmente la vediamo.
Ecco un semplice esempio :
<!DOCTYPE HTML><html xmlns="http://www.a.org/414/xhtml" xml:lang="it-IT" lang="it-IT" ><head><link href=“Framing.htl" rel="canonical" />
Il framing consiste nell’inserire codice di una pagina in un’altra, appropriandosi dei contenuti e non permettendo all’utente di distinguere tra originale e copia.
DDott. Nicola Gelmi
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
IL FRAMING - PARTE 2
In ambito BtB questa condotta dovrà essere valuta nell’ottica della concorrenza sleale perché si sfrutta il lavoro altrui e si induce confusione nell’utente.
Ai sensi della legge 633/41 con una recente sentenza (13 febbraio 2014 pronuncia C 466/12 ) la corte ‑di giustizia dell’Unione Europea parla di violazione del diritto d’autore:
“..per ricadere nella nozione di «comunicazione al pubblico» (come definita dalla direttiva 2001/29) occorre che una comunicazione […] riguardante le stesse opere della comunicazione iniziale ed effettuata in Internet come la comunicazione iniziale, quindi con le stesse modalità tecniche, sia rivolta ad un pubblico nuovo, cioè ad un pubblico che i titolari del diritto d’autore non abbiano
considerato, al momento in cui abbiano autorizzato la comunicazione iniziale al pubblico.”
DDott. Nicola Gelmi
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
LINKING E DEEPLINKING – PARTE 1
La possibilità di linkare elementi è una delle peculiarità del web.
La sopracitata pronuncia della Corte di Giustizia dell’Unione riscrive lo scenario preesistente.
Per violare il diritto d’autore attraverso un link devono ricorrere due elementi :
1- Un pubblico nuovo, cioè non considerato dai detentori dei diritti alla prima comunicazione al pubblico dell’opera;
2- In secondo luogo il materiale linkato non deve essere liberamente disponibile all’utenza, quindi si deve generare un link che aggiri misure di sicurezza o limitazioni.
DDott. Nicola Gelmi
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
LINKING E DEEPLINKING – PARTE 2
Il Deeplinking implica il collegamento ad una risorsa interna di un sito Web, non passando quindi da alcuna homepage.
La sentenza c-466/14 modifica anche questa condotta ma bisogna fare delle valutazioni specifiche :1. Non linkando il sito, ma ad una risorsa interna, la gran parte degli altri contenuti potrebbero non
venire visualizzati;2. La presenza di banner pubblicitari potrebbe non essere proficua come normalmente accade, non
passando dal sito principale;3. Questa condotta può sollevare le stesse problematiche del framing e a prescindere dalla punibilità
sulla base della legge 633/41 può rilevare ai fini della concorrenza sleale.
DDott. Nicola Gelmi
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Dott. Nico Gelmi
COSA PROTEGGE LA P.I.?
Visto che le norme in questa materia sono molto carenti, e spesso mancano degli orientamenti giurisprudenziali ben definiti la tutela da parte di un’impresa deve passare da strumenti diversi :
• Proteggere la propria pagina web in modo tecnico, investendo sui responsabili Ict, impedendo atti non autorizzati e aggiornando le tecnologie alla base della pagina ;
• Vietare esplicitamente determinate condotte, anche in presenza di disposizioni legislative non chiarissime, per agevolare una futura azione di tutela;
• specie per quanto riguarda le opere fotografiche è obbligatorio indicare il nome di chi detiene i diritti di utilizzazione economica,l'indicazione dell'anno di realizzazione della fotografia, e se la foto riproduce un'opera d'arte il nome dell'autore dell'opera;
DDott. Nicola Gelmi
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
GRAZIE PER L’ATTENZIONE
Dott. Nicola Gelmi
Titolo della presentazione
Dott. Luigi RufoDottorando di ricerca
E-Commerce: privacy a norma di legge
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
In materia di e-commerce devono esser altresì rispettati il D. Lgs. 196/2003 «Codice in materia di protezione dei dati personali» e gli specifici provvedimenti e/o Linee guida emanate dal Garante per la protezione dei dati personali.
E-Commerce: privacy a norma di legge
DATI
Dati Personali Dati Identificativi
Dati Sensibili
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Per un corretto e chiaro trattamento di «DATI» attraverso un sito web è necessario provvedere alla redazione di due distinte informative, art. 13 del Codice Privacy.
E-Commerce: privacy a norma di legge
Policy privacy : Documento che informa gli utenti che accedono al sito internet• Finalità • Titolarità • Modalità • Dati raccolti (es. Cookies)
Informativa : Documento da rilasciare all’ utente che fornisce i dati richiesti per fruire di un servizio (es. Newsletter) o iscriversi all’area riservata (es. per concludere acquisti e/o scaricare materiale) …ecc
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
ATTENTI AL COPIA / INCOLLA
Le finalità e i dati richiesti devo rispettare i principi di pertinenza e non eccedenza.
L’informativa deve essere quanto più specifica sulla base delle esigenze del sito
SANZIONE : DA 6.000 A 36.000 euro
E-Commerce: privacy a norma di legge
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
I COOKIES E IL D. Lgs. 69/12
I Cookies sono file di testo che contengono brevi informazioni sulla navigazione effettuata dall’utente e utili ai providers, sia per migliorare l’uso del mezzo da parte dell’utente (es. salvataggio password, contatore visualizzazione) sia per veicolare, sulla base
dell’analisi della navigazione, le offerte pubblicitarie.
Con il D. Lgs. 69/12 si passa da un sistema di Opt-out ad un sistema di Opt-it
L’utente dovrà NECESSARIAMENTE esplicitare il proprio consenso all’utilizzo, salvo che non siano necessarie alla prestazione del servizio richiesto.
E-Commerce: privacy a norma di legge
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
E-Commerce: privacy a norma di legge
Cookies Necessari : Essenziali per il corretto funzionamento del sito, scadono solitamente alla chiusura del browser (c.d. di sessione). - Non si richiede il consenso
Performance Cookies : Forniscono informazioni utili all’utente migliorando la sua esperienza durante la navigazione.
- Non si richiede il consenso
Cookies Funzionali : Ricordano all’utente le scelte fatte o determinate operazioni.
- Non si richiede il consenso
Cookies Pubblicitari : Usati per la profilazione degli utenti al fine di presentare contenuti più adatti ai loro interessi.
-Si richiede il consenso
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
CONSENSO
Il Consenso deve essere: • specifico• libero• Informato
Per i «dati comuni» si richiede che sia documentato per iscritto ( es. flag apposita casella), per i «dati sensibili» manifestato in forma scritta.
Importante: Tra i casi di esclusione del consenso abbiamo che esso non è necessario per eseguire obblighi derivanti da un contratto o per adempiere a specifiche richieste dell’interessato.
E-Commerce: privacy a norma di legge
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
COMUNICAZIONI COMMERCIALI TRAMITE E-MAIL
«Ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l'art. 130, commi 1 e 2, del Codice, in base al quale l'utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo del contraente o utente (c.d. opt-in).» ( Linee Guida Garante, doc. web n. 2542348)
Pertanto, senza il consenso preventivo non è possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti
web atti o documenti conosciuti o conoscibili da chiunque (es. PEC).
E-Commerce: privacy a norma di legge
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
SICUREZZA INFORMATICA
L’art. 31 del Codice Privacy stabilisce che i dati personali devono essere custoditi e controllati sulla base: del progresso tecnologico, natura dei dati, specifiche caratteristiche del trattamento.
Misure minime:Art. 33 Trattamento senza l’ausilio di strumenti informaticiArt. 34 Trattamento con l’ausilio di strumenti informatici
E-Commerce: privacy a norma di legge
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
GRAZIE PER L’ATTENZIONE
E-Commerce: privacy a norma di legge
Titolo della presentazione
Avv. Stefano Neri Ordine degli Avvocati di Livorno
La responsabilità amministrativa dell'impresa digitale nella commissione di
crimini informatici
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Il D.Lgs. n. 231/2001 disciplina la responsabilità amministrativa degli enti derivante da illecito penale (cd. reato presupposto) commesso da insiders dell'impresa nell'interesse o a vantaggio dell'impresa stessa.Commissione di un illecito penale, artt. da 24 a 25-duodecies, solo espressamente previsti (principio di legalità), ma tendenza del legislatore ad aumentare le ipotesi: ad esempio crimini informatici e violazioni in materia di diritto d'autore.
SOCIETAS DELINQUERE POTEST?
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
• Responsabilità formalmente amministrativa, ma:- competenza del giudice penale del reato presupposto;- le regole procedurali del codice di procedura penale per quanto non previsto dal D.Lgs. 231/2001;- stesse garanzie per l'imputato nel procedimento penale del reato presupposto.
• Secondo la Corte di Cassazione sarebbe un tertium genus (Cass. Sez. 6, Sentenza n. 2251 del 05/10/2010).
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
AUTONOMIA DELLA RESPONSABILITA' DELL'ENTE
L'ente sarà condannato anche se:• il soggetto non è identificato;• il soggetto non è imputabile a qualsiasi titolo (mancanza della capacità
d'intendere e di volere);• il reato estinto per intervenuta amnistia (anche se il soggetto vuole
rinunciare all’amnistia);• Non ammessa costituzione di parte civile nel procedimento 231 (Cass. Sez.
6 n. 2251 del 05/10/2010), ma possibilità di chiedere il risarcimento in sede civile da parte del danneggiato.
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
CRIMINI INFORMATICI
Art. 24• Art. 640-ter c.p.: frode informatica commessa ai danni dello Stato o di altro ente pubblico
Art. 24-bis
• Art. 615-ter c.p. -------> Accesso abusivo ad un sistema informatico o telematico• Art. 617-quater c.p. ---> Intercettazione, impedimento o interruzione illecita di
comunicazioni informatiche o telematiche. • Art. 617-quinquies c.p. ---> Installazione di apparecchiature atte ad intercettare, impedire
o interrompere comunicazioni informatiche o telematiche. • Art. 635-bis c.p. ----> Danneggiamento di informazioni, dati e programmi informatici.
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
• Art. 635-ter c.p. ----> Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità
• Art. 635-quater c.p. ----> Danneggiamento di sistemi informatici o telematici.• Art. 635-quinquies c.p. ---> Danneggiamento di sistemi informatici o telematici di pubblica
utilità.• Art. 615-quater c.p. ---> Detenzione e diffusione abusiva di codici di accesso a sistemi
informatici o telematici. • Art. 615-quinquies c.p. ---> Diffusione di apparecchiature, dispositivi o programmi
informatici diretti a danneggiare o interrompere un sistema informatico o telematico • Art. 491-bis c.p. ---> Falsità ideologica o materiale aventi come oggetto documenti
informatici.• Art. 640-quinquies c.p. ---> Frode informatica del soggetto che presta servizi di certificazione
di firma elettronica.
Art. 25 – noviesDelitti in materia di violazione di diritto d’autore
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Esempio IUn dirigente della srl già esistente che svolge attività di e-commerce, intende ottenere i benefici previsti dalla legge riservate alle start up innovative. La domanda per chiedere l’iscrizione nella sezione speciale presso la Camera di Commercio, e corredata dei relativi documenti, viene compilata in forma telematica con firma digitale ed inviata ai vari enti della P.A. competenti. I documenti contenenti le informazioni specifiche in merito agli investimenti per ricerca e sviluppo ed ai titoli di studio dei soci sono modificati di modo da ottenere i benefici previsti per legge.Reati ipotizzati:Art. 491-bis c.p. ----> Falsità ideologica o materiale aventi come oggetto documenti informatici.
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Esempio IIIl dipendente della spa che svolge attività di e-commerce, infetta con un malware un computer usato da un’impresa concorrente alterando i dati degli ordini ricevuti e distruggendo la gran parte della documentazione presente nei server aziendaliReati ipotizzati:Art. 615-ter c.p. ----> Accesso abusivo ad un sistema informatico o telematicoArt. 635-bis c.p. ----> Danneggiamento di informazioni, dati e programmi informatici.Art. 635-quater c.p. ----> Danneggiamento di sistemi informatici o telematici.
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
SOGGETTI
• SI - Enti forniti di personalità giuridica, società di persone o di capitali (snc, sas, srl, spa, et cetera), associazioni non riconosciute
• NO - imprese individuali (divieto di analogia in malam partem, Cass. Sez. 6, Sentenza n. 18941 del 03/03/2004, confermata nel 2012, difforme 2011).
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
REQUISITIPROFILO OGGETTIVO
Il reato deve essere commesso nell'interesse o a vantaggio dell'ente. Non responsabile l'ente, se l'insider ha agito nell'interesse esclusivo proprio o di terzi, ma attenzione;• sussiste la responsabilità da reato dell'ente qualora la persona giuridica
abbia avuto un interesse anche solo concorrente con quello dell'insider alla commissione del reato presupposto (Cass. Sez. 6, Sentenza n. 24559 del 22/05/2013).
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
REQUISITIPROFILO SOGGETTIVO
1)Persone che rivestono posizione apicale (dirigenti, amministratori, rappresentanti, anche compiti di gestione de facto)2)Persone sottoposte alla direzione o alla vigilanza di uno dei precedenti soggetti.
- Fatto commesso da terzi nell'interesse o a vantaggio dell'ente? Nessuna responsabilità, non possibilità di controllo.
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
1)Persone che rivestono posizione apicale.Presunzione di colpevolezza non assoluta, inversione dell'onere probatorio
Dal principio di innocenza al principio di colpevolezza
L'ente è esente da personalità:• se prova di aver adottato ed efficacemente attuato, prima della commissione
del reato, modelli di organizzazione e di gestione idonei a prevenire reati della stessa specie di quello per cui si procede (valutazione ex ante, probatio diabolica);
• soggetto terzo autonomo responsabile, o viceversa esente da responsabilità (ODV);
• elusione fraudolenta dei modelli di organizzazione e di gestione.
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
MODELLI DI ORGANIZZAZIONE E DI GESTIONECompliance programs della Governance aziendale
• individuare le attività nel cui ambito possono essere commessi reati (risk assessment)
• protocolli specifici diretti a programmare formazione e attuazione delle decisioni in relazione ai reati da prevenire (risk management);
• gestione delle risorse finanziarie idonee per impedire reati;
• obblighi di informazione nei confronti dell'organismo autonomo (ODV);
• sistema disciplinare idoneo.
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
2)Persone sottoposte alla direzione o alla vigilanza.L'ente è responsabile se la commissione del reato dipende da un deficit organizzativo, di controllo, inosservanza degli obblighi di direzione e vigilanza.
L'ente è esente da personalità:• se prova di aver adottato ed efficacemente attuato, prima della
commissione del reato, modelli di organizzazione e di gestione e di controllo idonei a prevenire reati della stessa specie di quello per cui si procede (valutazione ex ante, probatio diabolica).
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
MODELLI DI ORGANIZZAZIONE, DI GESTIONE E DI CONTROLLOCompliance programs del personale dipendente
Il modello prevede misure idonee a garantire lo svolgimento dell’attività, nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio, in relazione a:-natura-dimensione-tipo di attività svolta
Inoltre:• aggiornamento del modello quando sono scoperte significative violazioni delle
prescrizioni ovvero quando intervengono mutamenti nell'organizzazione o nell'attività (follow – up);
• un sistema disciplinare idoneo
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
SANZIONI APPLICABILICosa rischia l’impresa
1) Sanzione pecuniaria.2) Sanzioni interdittive / commissario giudiziale3) Confisca4) Pubblicazione della sentenza di condanna (facoltativa, e solo se applicata
una sanzione interdittiva)
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
1)Sanzione pecuniariaSi applica sempre. Sanzione calcolata “per quote”.
1 quota ---> da € 258,23 a € 1.549,37Minimo 100 quote, Massimo 1.000 quote
• Quante quote:Il giudice determina il numero delle quote tenendo conto di:
- gravità del fatto;- grado della responsabilità' dell'ente;- attività svolta per eliminare o attenuare le conseguenze del fatto e per
prevenire la commissione di ulteriori illeciti.
• Quanto la singola quota:Il giudice determina la singola quota sulla base delle condizioni economiche e patrimoniali dell'ente
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Casi di riduzione della sanzione- ½, MAX 100.000 €• reato commesso nel prevalente interesse proprio o di terzi e per l'ente
nessun vantaggio oppure vantaggio minimo;• danno patrimoniale di particolare tenuità;da – 1/3, a - ½, se prima del processo• danno risarcito integralmente, e adoperato per eliminare le conseguenze
dannose o pericolose del reato;• modello organizzativo idoneo a prevenire reati della specie di quello
verificatosi.
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
2)Sanzioni interdittive- Interdizione dall'esercizio dell'attività.- Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali alla
commissione dell'illecito.- Divieto di contrattare con la P.A. (eccezione prestazioni di un pubblico
servizio).- Esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale
revoca di quelli già concessi.- Divieto di pubblicizzare beni o servizi.
DurataMINIMO tre mesi, MASSIMO due anni
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Carattere particolarmente afflittivol'applicazione è sottoposta a rigide condizioni
• espressamente previste per quel reato;• profitto di rilevante entità e reato commesso da soggetti in posizione
apicale ovvero da dipendenti, se gravi carenze organizzative, oppure• reiterazione degli illeciti.Non si applicano se:• reato commesso nel prevalente interesse proprio o di terzi e per l'ente
nessun vantaggio oppure vantaggio minimo;• danno patrimoniale di particolare tenuità.
Commissario giudiziale
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
3)Confisca.Nei confronti dell'ente è sempre disposta, con la sentenza di condanna, la confisca del prezzo o del profitto del reato, salvo che per la parte che può essere restituita al danneggiato. Sono fatti salvi i diritti acquisiti dai terzi in buona fede.
Quando non possibile, confisca di:• somme di denaro;• beni;• altre utilità di valore equivalente al prezzo o al profitto del reato.
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
MISURE CAUTELARIE' incentrato sull'utilizzo delle sanzioni interdittive. Esigenza cautelare del pericolo di reiterazione di reati della stessa indole.
Gravi indizi di reato a carico dell'ente (requisiti oggettivi e soggettivi)+
concreto pericolo di reiterazione
Ed inoltre:• espressamente previste per quel reato;• Discrezione sull'applicazione di misure cautelari ----> art. 275 c.p.p., idoneità,
proporzionalità e adeguatezza della misura.• L'interdizione dell'attività solo come extrema ratio.• Possibilità di sospendere la misura cautelare: l'ente chiede di poter realizzare gli
adempimenti riparatori e organizzativi cui la legge condiziona l'esclusione delle sanzioni interdittive.
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Il Modello 231 «tailored»Fonti
• Codice di Autodisciplina di Borsa Italiana SpA;• Linee Guida di Confindustria;• indagine condotta dal Comitato per l'Area D.Lgs 231/2001 dell'Associazione
Italiana Internal Auditors (AIIA);• CoSO I, II e III (Commitee of Sponsoring Organizations of the Treadway
Commission);• principi di revisione ISA ( International Standards on Auditing)
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
ORGANISMO DI VIGILANZA
• Autonomia delega di funzioni piena ed incondizionata• Indipendenza• Dotato di un proprio budget di spesa• Dotato di strumenti adeguati per eseguire la vigilanza professionalità• Definizione delle attività dell’ODV• Comunicazione ordinaria da/verso ODV
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Le fasi
1. Risk assessment (Analisi del rischio)
Individuazione e mappatura aree di rischio Organigramma funzionale, deleghe e procedure esistenti Codice Etico e sanzioni disciplinari
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
2. Risk management (Gestione del rischio)
Protocolli specifici (scopo preventivo) Monitoraggio Follow-up
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
Aspetti critici• Requisiti soggettiviDipendenti, lavoratori subordinati, ma lavoratori autonomi o parasubordinati (es. partite iva, contratto a progetto)?
• Conciliare modelli di organizzazione e prevenzione con il divieto di controllo a distanza dei lavoratori previsto dall'art. 4 L. 300/1970:
Misure di sicurezza Controllo «diretto» No (Sniffing, Wiretapping); controllo «indiretto» Si
(black list, download/upload) Notifiche di avviso di operazioni sospette?
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
• Aspetto della logisticaInventario dei beni, movimentazione merci, sicurezza dei lavoratori
• Il colpo tentato (D.L. n. 93/2013) Delitti ex art. 55, comma 9, D.Lgs. n. 231/2007 Delitti Parte III, Titolo III, Capo II, D.Lgs. n. 196/2003 (es. spamming): Data
Protection Officer / Privacy Officer
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Titolo della presentazione
Le best practices per un’adeguata compliance normativa a tutela dei propri investimenti
GRAZIE PER L’ATTENZIONE
La responsabilità amministrativa dell'impresa digitale nella commissione di crimini informatici
Recommended