top of page
Logo-ASTRO-assotrattenimento-2007-horiz.png
Logo_Confindustria_edited.png
  • Instagram
  • Facebook
  • X
  • LinkedIn
  • Youtube

💥"IL REATO DI FRODE INFORMATICA - UN CASO PRATICO DI APPLICAZIONE DEL D.LGS. 231/01" A CURA DELL’AVV. MARCO CAROPPO (CONSULENTE AS.TRO)

Prosegue la pubblicazione degli articoli curati dell’avv. Marco Caroppo, che da luglio è entrato a far parte di As.tro-Confindustria SIT come consulente esperto in materia di responsabilità amministrativa degli enti ex D.Lgs. 231/2001.


I contributi dell’avv. Marco Caroppo -che verranno pubblicati a cadenza bisettimanale sul sito dell’Associazione- avranno ad oggetto l’analisi del D.Lgs. 231/2001 e degli strumenti di prevenzione dei reati previsti da tale normativa che possono essere adottati all’interno delle aziende, con approfondimenti specifici legati al settore del gioco pubblico.


Dopo aver esaminato, nel precedente articolo, un caso pratico – simulato – che potrebbe verificarsi in ambito aziendale, di seguito il quinto articolo che analizza un altro caso, legato ai delitti di frode informatica.


L’art. 24-bis del D.Lgs. 231/2001 prevede la responsabilità amministrativa dell’ente per i delitti informatici tra cui, in particolare, la frode informatica (art. 640-ter c.p.).


Affinché possa configurarsi la responsabilità dell’ente, devono sussistere i presupposti di cui all’art. 5 D.Lgs. 231/01, ossia che il reato sia stato commesso da soggetti apicali o sottoposti e nell’interesse o a vantaggio dell’ente.


Analizziamo ora un caso pratico – simulato – che potrebbe verificarsi in ambito aziendale.


Come sempre i nomi sono di fantasia ed il caso proposto è simulato a fini didattici e non riguarda fatti reali.


"La società

La Omega Dollar S.r.l., concessionaria ADM per scommesse sportive e casinò on-line, possiede 300.000 conti di gioco attivi e un fatturato annuo di oltre 100 milioni di euro. La società – contrariamente ai casi qui trattati sino ad ora – ha adottato un Modello 231, aggiornato solo sporadicamente nel corso degli anni ed istituito un Organismo di Vigilanza interno a composizione monocratica.


Il fatto

Il responsabile IT, insieme a due sviluppatori informatici operanti per una società esterna, realizza un algoritmo che riesce ad introdurre nella piattaforma di gioco on-line in maniera occulta, alterando selettivamente le quote di alcuni eventi a vantaggio di conti riconducibili ai suoi complici. Tale condotta permette di generare illegittimamente vincite sistematiche, che risultano formalmente legittime, configurando così il reato di frode informatica (art. 640-ter c.p.).


Il sistema illecito prevede l’alterazione delle quote solo per alcuni eventi selezionati e per uno spazio temporale predefinito, cosicché gli utenti effettuano le puntate a quote reali mentre gli artefici del sistema giocano a quote artatamente maggiorate, sfruttando l’alterazione del sistema informatico.


Il reato presupposto e l’indagine

A seguito di segnalazioni interne collegate ad anomalie rilevate dai sistemi informatici automatizzati, l’Autorità Giudiziaria procede al sequestro dei server aziendali e avvia accertamenti sulla tracciabilità delle operazioni e sull’efficacia dei protocolli di sicurezza. Alla società viene contestata la responsabilità ex D.Lgs. 231/01, poiché il Modello adottato risulta inadeguato a prevenire frodi informatiche, non contemplando procedure operative specifiche né controlli efficaci sugli accessi ai sistemi.


Inoltre, dall’analisi dei flussi informativi all’OdV risultava che il medesimo non ricevesse regolarmente i log, non avesse mai effettuato audit tecnici e che le anomalie sulle quote che talvolta venivano comunicate non fossero gestite attraverso una analisi specifica.


Vantaggio dell’ente

Il vantaggio conseguito dall’azienda viene individuato nell’incremento artificioso dei volumi di gioco, con conseguenti benefici economici indiretti, quali aumento del fatturato e l’aumento del valore della società. Inoltre, la società traeva un beneficio economico diretto ricollegabile ai margini sulle giocate, ancorché fraudolentemente pilotate.


Le conseguenze processuali

Al termine del procedimento, la società subisce:


·      sanzione pecuniaria, proporzionata alla gravità dei fatti;

·      sanzione interdittiva, consistente nella sospensione temporanea dell’attività online;


Conclusioni e possibili rimedi

Se la Omega Dollar avesse adeguato il proprio Modello Organizzativo alle specifiche esigenze di prevenzione del reato di frode informatica rafforzando, altresì, i flussi di comunicazione con l’OdV e quest’ultimo avesse effettuato specifici audit in ambito IT, avrebbe potuto dimostrare l’attuazione di misure idonee a prevenire il reato e ottenere l’esimente di responsabilità.


In particolare, le procedure di sicurezza e prevenzione avrebbero dovuto comprendere:


  • rafforzamento dei sistemi di autenticazione e profilazione degli accessi;

  • revisione dei protocolli informatici e delle procedure di segnalazione delle anomalie;

  • potenziamento dei flussi informativi verso l’OdV;

  • istituzione di un programma di formazione obbligatoria su rischi informatici e reati presupposto D.Lgs. 231/01;

  • audit IT da parte dell’OdV;

  • penetration test periodici per verificare l’integrità dei sistemi informatici.


Con l’attuazione di tali misure l’ente avrebbe potuto dimostrare che il reato non era ricollegabile a carenze organizzative dell’azienda ma all’iniziativa individuale (responsabile IT infedele) di un dipendente che avrebbe agito aggirando fraudolentemente le procedure previste.

In questo caso sarebbe andato esente da responsabilità".


Avv. Marco Caroppo


Si avvisano gli iscritti Astro che, per ogni approfondimento e/o consulenza in materia di D.Lgs. 231/2001, è possibile contattare l’avv. Marco Caroppo all’indirizzo mail info@assotrattenimento.it.






Post recenti

Mostra tutti
bottom of page