Corso pratico sulla redazione del modello EX D.LGS. N. 231/2001

Corso pratico sulla redazione del modello EX D.LGS. N. 231/2001

Corso pratico sulla redazione del modello EX D.LGS. N. 231/2001 – Focus sul Cyber risk: prevenzione dei reati informatici e gestione degli incidenti

21 ORE IN AULA.  3 INCONTRI

Crediti formativi AVVOCATI: in fase di accreditamento

Catania, 5 – 6 – 12 aprile 201

Orario: dalle ore 9.30 alle ore 17.30

Sarà fatta un’analisi della disciplina della responsabilità degli Enti attraverso un approccio pratico – casistico, incentrato sull’approfondimento della recente giurisprudenza e sulla disamina delle principali novità legislative. Il secondo incontro mira a far acquisire le competenze necessarie per la predisposizione del Modello Organizzativo e dei Protocolli di prevenzione, a partire dalle attività di risk analysis e di gap analysis, sino agli adempimenti preordinati alla costituzione, all’insediamento e alla gestione dell’Organismo di Vigilanza.In occasione del terzo incontro saranno esaminati gli aspetti tecnici relativi al cyber risk, alle procedure e alla prevenzione dei reati informatici nell’ambito dei Modelli 231 e della compliance aziendale, con sezione dedicata alla casistica pratica e processuale.

Programma

  • I INCONTRO: DISCIPLINA E FOCUS CASISTICO-GIURISPRUDENZIALE

Principi generali in materia di responsabilità dell’Ente
– Il concetto di “colpa di organizzazione” quale requisito integrativo della responsabilità dell’Ente.
– Autonomia e indipendenza della responsabilità dell’Ente.
– La ratio dell’impianto cautelare e sanzionatorio previsto dal D.Lgs. n. 231/2001.
– Ambito soggettivo di applicazione del D.Lgs. n. 231/2001.
– La fisionomia della responsabilità dell’Ente nell’ambito dei gruppi societari. Il ruolo della holding.
– L’applicabilità del D.Lgs. n. 231/2001 agli Enti stranieri: dalla pronuncia Siemens AG alla sentenza di primo grado relativa alla strage di Viareggio.

L’analisi dell’apparato sanzionatorio previsto dal D.Lgs. n. 231/2001: in particolare, le misure cautelari e le sanzioni pecuniari e accessorie
– Il catalogo delle sanzioni interdittive.
– La sanzione pecuniaria. Il principio di proporzionalità e i criteri di commisurazione: le quote.
– Il Commissario Giudiziale, la confisca e la pubblicazione della sentenza di condanna.

Analisi degli elementi costitutivi della responsabilità dell’Ente
– La realizzazione dei reati-presupposto ricompresi nel catalogo del Decreto. Focus giurisprudenziale sulle principali categorie di reati-presupposto.
– La riconducibilità del reato-presupposto a soggetti apicali o da essi dipendenti.
– La commissione del reato-presupposto nell’interesse o a vantaggio dell’Ente. L’interesse e il vantaggio nell’ambito dei reati colposi: focus giurisprudenziale in tema di reati previsti dall’art. 25 septies, D.Lgs. n. 231/2001.
– Le cause di esclusione della responsabilità dell’Ente e i criteri di riparto dell’onere della prova.

Interazione e integrazione tra i Sistemi di gestione certificati e il Modello Organizzativo
– Il caso giurisprudenziale Rete Ferroviaria S.p.A. (Trib. Catania, 14 aprile 2017, n. 2133): la valorizzazione del Sistema di gestione della sicurezza nel Modello Organizzativo.
– L’integrazione dei Sistemi di gestione nel Modello Organizzativo e il ruolo dell’Organismo di Vigilanza.

  • II INCONTRO: MODULO OPERATIVO

La predisposizione del Modello Organizzativo: il Modello quale strumento di tutela processuale
– Focus pratico-operativo: analisi della struttura e tecniche di redazione del Modello Organizzativo.
– Le fasi della redazione del Modello. Risk analysis (individuazione e mappatura dei processi sensibili e delle aree di rischio), gap analysis (predisposizione e implementazione delle procedure aziendali), Codice Etico e sistema disciplinare.
– Struttura del Modello Organizzativo: i rapporti tra parte generale, protocolli di prevenzione, procedure operative e sistemi di gestione.

L’Organismo di Vigilanza: composizione, poteri e attribuzioni
– Composizione dell’Organismo di Vigilanza: tra esigenze di indipendenza e autonomia e competenze tecnico-specialistiche. La sentenza relativa al caso Thyssenkrupp: principi giurisprudenziali in tema di composizione dell’OdV.
– Le attribuzioni dell’Organismo di Vigilanza. In particolare, le attività di verifica periodica in merito all’idoneità e all’efficace attuazione del Modello. L’aggiornamento del Modello in relazione alle novità legislative o in conseguenza di mutamenti rilevanti negli assetti organizzativi o nelle attività dell’Ente.
– Il sistema di flussi informativi e la ricezione di segnalazioni relative alle violazioni del Modello o del Codice Etico.
– I destinatari dell’attività informativa e delle relazioni dell’Organismo di Vigilanza. Report e segnalazioni all’organo amministrativo.
– Focus pratico-operativo: tecniche di redazione e struttura dei verbali di riunione e delle relazioni periodiche dell’Organismo di Vigilanza.
– Focus giurisprudenziale: la responsabilità dei membri dell’Organismo di Vigilanza. Spunti di riflessione a margine della pronuncia Fincantieri Cantieri Navali S.p.A.
– Whistleblowing (art. 6 comma 2 bis, D.Lgs. n. 231/2001) ed esigenze di revisione del sistema di flussi informativi. Tutela della riservatezza del segnalante e adozione di misure antidiscriminatorie.

Cenni processuali

– Il procedimento di accertamento della responsabilità dell’Ente: la valutazione dell’idoneità del Modello Organizzativo in sede processuale e la fase di applicazione delle sanzioni amministrative.

  • III INCONTRO: MODULO TECNICO E OPERATIVO

Principi generali in tema di sicurezza informatica
– Introduzione alla Sicurezza Informatica.
– Princìpi, metodologie e strumenti.
– Business Continuity e Disaster Recovery.
– Mappatura dei rischi informatici.
– La gestione del rischio informatico in caso di affidamento in outsourcing del servizio di IT.

I reati informatici nell’ambito del D.Lgs. n. 231/2001
– La Convenzione di Budapest del 2001.
– La Legge n. 48 del 2008.
– L’art. 24 bis, D.Lgs. n. 231/2001: Delitti informatici e trattamento illecito di dati.
– Casistica processuale ed esempi di reati informatici commessi nell’interesse o a vantaggio dell’Ente.

La prevenzione dei reati informatici
– Penetration Test e Vulnerability Assessment.
– Sistemi di end-point protection.
– IDS, IPS, AD, firewall.
– Formazione e consapevolezza del dipendente.

La prevenzione nel rispetto dei diritti del lavoratore
– La Policy di utilizzo dei sistemi informativi: princìpi, esempi e importanza ai fini della genuinità nell’acquisizione della prova.
– Limitazioni mediante misure tecniche e disciplinari.
– Il rispetto della privacy: posta elettronica e Internet.
– Postazioni di lavoro e monitoraggio in ottica di sicurezza.

Le verifiche in ottica D.Lgs. n. 231/2001
– Metodologie e strumenti di verifica dell’aderenza del Modello Organizzativo con la realtà aziendale.
– File di log, monitoraggio, backup.
– Condotta, ipotesi di reato, previsione e controllo.
– Best Practices.

L’informatica forense e la gestione degli incidenti informatici
– Introduzione alla DFIR – Digital Forensics & Incident Response.
– Metodologie e strumenti.
– Acquisizione delle evidenze digitali a fini probatori.
– Focus Pratico: Redazione di una perizia informatica.

Docenti

  • Francesco Meloni
    Avvocato penalista del Foro di Torino.
  • Paolo Dal Checco
    Consulente Informatico Forense.