Cyber security e modelli 231: integrazione nell’era digitale

Nell’attuale panorama aziendale, caratterizzato da una rapida evoluzione tecnologica e da un processo di digitalizzazione pervasivo, emerge con forza una problematica spesso sottovalutata: la progressiva trasformazione dei processi aziendali in chiave digitale rischia di compromettere l’efficacia dei presidi previsti nei modelli organizzativi adottati ai sensi del D.lgs. 231/2001.

Solo mediante opportuni interventi nel dominio IT è possibile adattare i presidi originariamente implementati ai nuovi processi digitalizzati, mitigando gli stessi rischi 231 ora esposti anche alle vulnerabilità informatiche.

Dal paradigma analogico al digitale

Quando nel 2001 il legislatore introdusse il D.lgs. 231/2001, le imprese operavano in un contesto prevalentemente analogico. I processi aziendali erano in larga misura fisici, con applicazioni tecnologiche ancora meccaniche. I modelli organizzativi venivano concepiti per un ambiente in cui le interazioni umane dirette costituivano il fulcro dell’operatività aziendale.

A oltre vent’anni di distanza, il contesto operativo risulta profondamente mutato. La transizione dall’Industria 1.0 all’Industria 5.0 ha trasformato radicalmente le modalità di esecuzione dei processi e pertanto, i modelli 231 necessitano di un adeguamento alle nuove realtà organizzative per garantirne l’idoneità e l’efficacia nel tempo.

L’ introduzione dei reati informatici nel catalogo 231, avvenuta nel 2008 per opera della Legge n. 48, sebbene rappresenti un passo importante, non è sufficiente ad affrontare la complessità di questa trasformazione.

Non si tratta solo di aggiungere nuove fattispecie di reato, ma di ripensare l’intero approccio alla compliance in un ecosistema digitalizzato.

I tre pilastri del modello 231 nell’era digitale

I modelli 231 di organizzazione, gestione e controllo tradizionali definiscono ruoli e responsabilità dei processi in perimetro, ma raramente approfondiscono le implicazioni della loro digitalizzazione.

Questa lacuna assume rilevanza critica nell’attuale contesto di trasformazione digitale.

Organizzazione: l’importanza della struttura IT

La componente organizzativa del modello 231 deve oggi necessariamente includere l’organigramma IT, identificando con precisione non solo chi ricopre determinati ruoli e responsabilità, ma anche chi ha accesso ai sistemi e con quali privilegi.

Se, in passato, ci si limitava a mappare gli organigrammi di struttura o quelli della sicurezza sul lavoro, oggi è imprescindibile considerare anche la dimensione informatica dell’organizzazione.

Questa mappatura deve comprendere tutti gli utenti che interagiscono con i sistemi informativi, con particolare attenzione ai destinatari di privilegi elevati, come gli amministratori di sistema figure particolarmente critiche che hanno accesso privilegiato e potenzialmente possono aggirare i controlli implementati.

L’organigramma IT diventa così non solo uno strumento operativo, ma un elemento essenziale del sistema di controllo interno.

Gestione: la digitalizzazione dei processi aziendali

I processi aziendali digitalizzati richiedono una riformulazione dei presidi L’automatizzazione dei processi offre vantaggi indiscutibili, ma è essenziale verificare che siano mantenute anche le stesse garanzie in termini di compliance 231: nel passaggio dalle procedure analogiche alle procedure informatiche, è fondamentale verificare che i principi di controllo rimangano efficaci.

In particolare, occorre garantire che la segregazione delle attività e i livelli approvativi originariamente previsti siano rispettati e correttamente implementati anche nell’ambiente digitale.

Come facciamo ad essere sicuri che dietro un flusso approvativo informatizzato operino davvero tutte le persone previste in coerenza con le rispettive abilitazioni? L’autenticazione a doppio fattore rappresenta, ad esempio, una misura adeguata quando vengono assegnati compiti e responsabilità differenti a più soggetti che intervengono nello stesso processo decisionale digitalizzato.

Controllo: verifica dell’efficacia delle misure IT

Il modello di controllo deve evolvere per garantire l’accountability, il tracciamento delle decisioni e la separazione tra ruoli decisionali e operativi in un contesto digitalizzato. I controlli tradizionali, basati su verifiche documentali e supervisione diretta, risultano inadeguati quando i processi sono mediati da sistemi informatici.

Diventa essenziale implementare controlli specifici quali:

1. Sistemi di gestione delle identità e degli accessi (IAM).
2. Sistemi di gestione degli accessi privilegiati (PAM).
3. Meccanismi di logging e auditing.
4. Verifiche di integrità dei dati.

Tali controlli tecnici devono essere parte integrante del Modello 231, non elementi separati gestiti esclusivamente dalla funzione IT. E questo discorso diventa ancora più evidente, se nei processi vengono implementati sistemi di intelligenza artificiale.

Sfide e vulnerabilità nella transizione digitale

“L’emergere di nuove tecnologie digitali, quali l’intelligenza artificiale, l’Internet delle cose e la robotica, pone nuove sfide in termini di sicurezza dei prodotti” (cit. dalla relazione Commissione sulle implicazioni dell’intelligenza artificiale, dell’Internet delle cose e della robotica del 19 febbraio 2020 in materia di sicurezza e di responsabilità).

Interconnessione dei sistemi e propagazione del rischio

L’interconnessione dei sistemi informatici aziendali rappresenta oggi una grande opportunità per le imprese, in termini di scalabilità ed efficienza: a ben guardare, ormai tutti i processi di un’azienda vedono in qualche modo l’applicazione di sistemi informatici al loro interno.

A volte si tratta di sistemi informatici semplicemente connessi tra di loro, come per il processo di redazione del bilancio, dove confluiscono i dati provenienti da diversi sistemi (quello per l’elaborazione delle offerte o per gli acquisti, il gestionale del magazzino o quello per i costi del personale, e così via.).

Analogamente, nei processi commerciali (e-commerce, piattaforme per gare e appalti) o HR (gestione presenze, note spese), la digitalizzazione ha sostituito procedure fisiche con applicazioni digitali che introducono nuove tipologie di rischio.

In questo scenario, però, deve essere chiaro che la vulnerabilità in un singolo componente può propagarsi attraverso l’intera infrastruttura, compromettendo l’integrità dei dati e, potenzialmente, facilitando la commissione di reati, come il falso in bilancio.

Particolare attenzione merita il settore dell’IoT industriale, dove sistemi informatici connessi agli oggetti vengono implementati per migliorare la sicurezza dei lavoratori. Tali sistemi, però, se privi di adeguate misure di sicurezza IT o non sottoposti a tempestiva manutenzione e aggiornamento, potrebbero paradossalmente introdurre nuovi rischi.

In casi estremi, un incidente informatico potrebbe comportare conseguenze drammatiche come incidenti sul lavoro o disastri ambientali, configurando reati riconducibili all’art. 25-septies o all’art. 25-undecies del D.lgs. 231/2001.

In questo contesto, si inserisce il nuovo Regolamento Macchine (UE 2024/1230), che al Considerandum 12 afferma chiaramente come la «sicurezza dei prodotti» debba includere la protezione contro tutti i tipi di rischi derivanti dalle nuove tecnologie digitali, quali i rischi informatici o la perdita di connettività. Il software stesso viene inserito nell’elenco indicativo dei componenti di sicurezza delle macchine (Allegato II al Regolamento).

In questo contesto tecnologico evoluto, dove le misure IT diventano misure a tutela della salute e sicurezza delle persone, la “mancata spesa” in misure di sicurezza informatica potrebbe essere considerata quel tipo di “vantaggio per l’impresa” che fonda l’accusa per responsabilità 231.

Zero Trust: approccio fondamentale nell’era digitale

Per tutto quanto finora detto, l’approccio Zero Trust rappresenta un paradigma essenziale nell’era della digitalizzazione: nessun elemento deve essere considerato automaticamente affidabile, inclusi gli utenti interni all’organizzazione. Questo principio assume particolare rilevanza per i modelli 231, tradizionalmente fondati su una catena di fiducia interna.

In un ambiente digitalizzato, la fiducia stessa può costituire una vulnerabilità. I tradizionali modelli di sicurezza perimetrale risultano insufficienti quando i processi aziendali vengono eseguiti su piattaforme cloud, dispositivi mobili e reti remote.

Il principio Zero Trust richiede la verifica di ogni accesso, l’autenticazione di ogni utente e la protezione di ogni risorsa, indipendentemente dalla posizione all’interno o all’esterno della rete aziendale.

Gli amministratori di sistema, quindi, oggi più che mai rispetto al passato, rappresentano figure particolarmente critiche dal punto di vista del rischio 231. I loro privilegi potrebbero potenzialmente essere utilizzati per aggirare i controlli implementati.

E la criticità aumenta se consideriamo che sempre più spesso diventano amministratori di sistema soggetti privi di specifiche competenze tecniche (come le risorse dei dipartimenti HR, con accessi privilegiati a sistemi per la gestione delle note spese o delle presenze).

L’approccio Zero Trust, pertanto, ha profonde implicazioni per i Modelli 231, richiedendo una revisione dei presidi di controllo tradizionali per adattarli a un contesto in cui la fiducia non può più essere data per scontata.

Strategie di integrazione tra cyber security e modello 231

Per affrontare efficacemente le sfide poste dalla trasformazione digitale, è necessario adottare un approccio integrato che consideri la cyber security come parte essenziale della compliance 231.

Gap analysis e mappatura dei presidi IT

Il primo passo consiste nell’analizzare il divario tra i controlli esistenti e i nuovi rischi introdotti dalla digitalizzazione, considerando per ciascun processo aziendale:

1. le modalità in cui la digitalizzazione ha modificato il processo;
2. l’efficacia residua dei controlli preesistenti;
3. le nuove vulnerabilità introdotte;
4. le misure tecniche e organizzative necessarie per ripristinare l’efficacia dei controlli.

Una strategia efficace richiede inoltre una mappatura sistematica dei presidi IT in relazione alle specifiche attività sensibili identificate nel modello 231, identificando per ogni processo aziendale:

1. le attività che utilizzano sistemi informativi;
2. gli asset IT associati;
3. le potenziali minacce e vulnerabilità;
4. i reati 231 correlati ai processi ove la vulnerabilità informatica potrebbe costituire proprio il rischio prevalente;
5. le misure tecniche adottate per mitigare i rischi.

Un approccio integrato: nuovi attori nella compliance aziendale

L’evoluzione dei Modelli 231 nell’era digitale richiede il coinvolgimento di nuove figure professionali nel processo di compliance, quali:

1. Chief Security Officer (CSO).
2. Chief Information Security Officer (CISO).
3. Chief Information Officer (CIO).
4. Fraud Manager.
5. Data Manager.

Questi professionisti devono operare in stretta collaborazione con i responsabili della compliance per garantire che i presidi tecnologici siano allineati con gli obiettivi del modello 231. È necessario superare l’assunto che un sistema informatico sia automaticamente un sistema di controllo: esso deve essere considerato come un potenziale “componente” a rischio-reato.

Il risk assessment 231, a sua volta, deve quindi essere integrato con:

1. l’analisi dei rischi specifici delle tecnologie adottate;
2. la valutazione dell’impatto delle nuove implementazioni tecnologiche;
3. la gap analysis tra controlli esistenti e nuovi rischi tecnologici.

Verso un nuovo paradigma di compliance integrata

L’idoneità e l’efficacia dei modelli 231 nell’era digitale dipendono dalla capacità di adattarsi al nuovo contesto tecnologico. Non si tratta semplicemente di aggiungere nuovi controlli, ma di riconsiderare l’intero approccio alla compliance in un ecosistema digitalizzato.

I modelli organizzativi devono evolvere da una visione statica e documentale a un approccio dinamico e integrato, in cui la dimensione informatica costituisce parte essenziale del sistema di controllo.

Per i professionisti responsabili della digitalizzazione dei processi aziendali e per i manager incaricati della compliance, la sfida consiste nel trovare l’equilibrio ottimale tra innovazione e controllo, garantendo che la trasformazione digitale non comprometta, ma rafforzi, l’efficacia dei presidi.