Frode informatica, Caroppo (Astro): ‘Rafforzare procedure di sicurezza e prevenzione’
Prosegue la pubblicazione degli articoli curati dell’avvocato Marco Caroppo, che da luglio è entrato a far parte di As.tro-Confindustria Sit come consulente esperto in materia di responsabilità amministrativa degli enti ex decreto legislativo n. 231/2001.
In questo caso al centro c'è l’articolo 24-bis del Dlgs, in cui si prevede la responsabilità amministrativa dell’ente per i delitti informatici tra cui, in particolare, la frode informatica (art. 640-ter c.p.).
Ed ecco, di seguito, la disamina dell'avvocato Caroppo.
Affinché possa configurarsi la responsabilità dell’ente, devono sussistere i presupposti di cui all’articolo 5 Dlgs. 231/01, ossia che il reato sia stato commesso da soggetti apicali o sottoposti e nell’interesse o a vantaggio dell’ente.
Analizziamo ora un caso pratico – simulato – che potrebbe verificarsi in ambito aziendale.
Come sempre i nomi sono di fantasia ed il caso proposto è simulato a fini didattici e non riguarda fatti reali.
LA SOCIETÀ – La Omega Dollar Srl, concessionaria Adm per scommesse sportive e casinò on-line, possiede 300.000 conti di gioco attivi e un fatturato annuo di oltre 100 milioni di euro. La società – contrariamente ai casi qui trattati sino ad ora – ha adottato un Modello 231, aggiornato solo sporadicamente nel corso degli anni ed istituito un Organismo di vigilanza interno a composizione monocratica.
IL FATTO – Il responsabile IT, insieme a due sviluppatori informatici operanti per una società esterna, realizza un algoritmo che riesce ad introdurre nella piattaforma di gioco online in maniera occulta, alterando selettivamente le quote di alcuni eventi a vantaggio di conti riconducibili ai suoi complici. Tale condotta permette di generare illegittimamente vincite sistematiche, che risultano formalmente legittime, configurando così il reato di frode informatica (art. 640-ter c.p.).
Il sistema illecito prevede l’alterazione delle quote solo per alcuni eventi selezionati e per uno spazio temporale predefinito, cosicché gli utenti effettuano le puntate a quote reali mentre gli artefici del sistema giocano a quote artatamente maggiorate, sfruttando l’alterazione del sistema informatico.
IL REATO PRESUPPOSTO E L’INDAGINE – A seguito di segnalazioni interne collegate ad anomalie rilevate dai sistemi informatici automatizzati, l’Autorità giudiziaria procede al sequestro dei server aziendali e avvia accertamenti sulla tracciabilità delle operazioni e sull’efficacia dei protocolli di sicurezza. Alla società viene contestata la responsabilità ex Dlgs. 231/01, poiché il Modello adottato risulta inadeguato a prevenire frodi informatiche, non contemplando procedure operative specifiche né controlli efficaci sugli accessi ai sistemi.
Inoltre, dall’analisi dei flussi informativi all’OdV risultava che il medesimo non ricevesse regolarmente i log, non avesse mai effettuato audit tecnici e che le anomalie sulle quote che talvolta venivano comunicate non fossero gestite attraverso una analisi specifica.
VANTAGGIO DELL’ENTE – Il vantaggio conseguito dall’azienda viene individuato nell’incremento artificioso dei volumi di gioco, con conseguenti benefici economici indiretti, quali aumento del fatturato e l’aumento del valore della società. Inoltre, la società traeva un beneficio economico diretto ricollegabile ai margini sulle giocate, ancorché fraudolentemente pilotate.
LE CONSEGUENZE PROCESSUALI – Al termine del procedimento, la società subisce: sanzione pecuniaria, proporzionata alla gravità dei fatti; sanzione interdittiva, consistente nella sospensione temporanea dell’attività online.
CONCLUSIONI E POSSIBILI RIMEDI – Se la Omega Dollar avesse adeguato il proprio Modello organizzativo alle specifiche esigenze di prevenzione del reato di frode informatica rafforzando, altresì, i flussi di comunicazione con l’OdV e quest’ultimo avesse effettuato specifici audit in ambito IT, avrebbe potuto dimostrare l’attuazione di misure idonee a prevenire il reato e ottenere l’esimente di responsabilità.
In particolare, le procedure di sicurezza e prevenzione avrebbero dovuto comprendere: rafforzamento dei sistemi di autenticazione e profilazione degli accessi; revisione dei protocolli informatici e delle procedure di segnalazione delle anomalie; potenziamento dei flussi informativi verso l’OdV; istituzione di un programma di formazione obbligatoria su rischi informatici e reati presupposto Dlgs. 231/01; audit IT da parte dell’OdV; penetration test periodici per verificare l’integrità dei sistemi informatici.
Con l’attuazione di tali misure l’ente avrebbe potuto dimostrare che il reato non era ricollegabile a carenze organizzative dell’azienda ma all’iniziativa individuale (responsabile IT infedele) di un dipendente che avrebbe agito aggirando fraudolentemente le procedure previste.
In questo caso sarebbe andato esente da responsabilità.
17 Febbraio 2026 
