Delitti informatici e responsabilità società gioco: l’analisi dell’avvocato Caroppo (Astro)
I delitti informatici e la responsabilità amministrativa delle società nel settore del gioco pubblico sono al centro del nuovo contributo dell'avvocato Marco Caroppo, consulente di Astro-Confindustria Sit in materia di responsabilità amministrativa degli enti ex Dlgs 231/2001. L'avvocato Caroppo analizza un caso pratico simulato di applicazione della normativa sui delitti informatici in una società di scommesse e gioco online.
Prosegue, con questa nuova analisi, la pubblicazione degli articoli curati da Caroppo, da luglio è entrato a far parte di Astro-Confindustria Sit come consulente esperto in materia di responsabilità amministrativa degli enti ex Dlgs 231/2001.
I DELITTI INFORMATICI – L'articolo 24-bis del Dlgs 231/2001 prevede la responsabilità amministrativa dell'ente per i delitti informatici, tra cui l'accesso abusivo a un sistema informatico o telematico (articolo 615-ter codice penale), la detenzione e diffusione abusiva di codici di accesso (articolo 615-quater codice penale), il danneggiamento di informazioni, dati e programmi informatici (articolo 635-bis e seguenti codice penale) e la frode informatica (articolo 640-ter codice penale).
Affinché possa configurarsi la responsabilità dell'ente, devono sussistere i presupposti di cui all'articolo 5 Dlgs 231/01, ossia che il reato sia stato commesso da soggetti apicali o sottoposti e nell'interesse o a vantaggio dell'ente. L'avvocato Caroppo analizza quindi un caso pratico simulato che potrebbe verificarsi in ambito aziendale, precisando che i nomi sono di fantasia e il caso proposto è simulato a fini didattici e non riguarda fatti reali.
IL CASO – La società presa in esempio opera, come società autorizzata, nel settore delle scommesse e del gioco online. L'azienda non ha adottato un Modello organizzativo ai sensi del Dlgs 231/2001. Due dipendenti del settore It, esperti informatici, utilizzano credenziali di amministrazione per accedere abusivamente ai sistemi informatici della società, alterando i dati relativi ai conti gioco e manipolando le registrazioni delle scommesse. L'obiettivo dei dipendenti infedeli è quello di realizzare vantaggi personali quali, ad esempio, il percepimento di bonus aziendali per l'aumento, fittiziamente creato, dei volumi di gioco, ottenendo un beneficio economico illegittimo mascherato da performance lavorativa. La società non ha procedure aziendali idonee a scongiurare un utilizzo fraudolento delle credenziali di accesso se non aver adottato elementari misure tecniche che, tuttavia, si rivelano insufficienti.
IL REATO, L'INDAGINE – Dalla condotta dei dipendenti origina un'indagine e l'Autorità giudiziaria opera il sequestro dei server e dei database centrali dell'azienda per verificare la tracciabilità delle operazioni e l'efficacia dei protocolli di sicurezza. A seguito delle indagini la medesima autorità contesta alla società il reato presupposto di cui all'articolo 24-bis, relativo ai delitti informatici e al trattamento illecito di dati, non avendo adottato l'azienda un modello organizzativo idoneo a prevenire i reati informatici, come previsto dagli articoli 6 e 7 del Dlgs 231/01. L'Autorità giudiziaria, nello specifico, contesta la responsabilità amministrativa dell'ente ai sensi del Dlgs 231/01, sostenendo che il reato è stato commesso da soggetti sottoposti. La società non ha adottato un modello organizzativo contenente protocolli sufficienti per prevenire accessi non autorizzati, né ha previsto un adeguato sistema di audit log e di monitoraggio continuo, traendo così un vantaggio dalla condotta illecita dei propri dipendenti infedeli.
I VANTAGGI ACQUISITI E SANZIONI CONSEGUENTI – Relativamente al vantaggio conseguito dall'azienda, esso viene individuato nell'incremento artificioso dei volumi di gioco, con potenziali risvolti economici indiretti favoriti dalla condotta illecita. Al successivo processo alla Omega Dollar viene irrogata una sanzione pecuniaria proporzionata alla gravità del fatto, la sanzione interdittiva della sospensione della licenza e la confisca del profitto del reato. Le conseguenze per una società di gioco online che non ha adottato un adeguato Modello organizzativo ai sensi del Dlgs 231/2001 possono quindi essere particolarmente gravi, comprendendo non solo sanzioni pecuniarie ma anche la sospensione della licenza, che comporta l'impossibilità di operare nel settore.
POSSIBILI RIMEDI: IL MODELLO ORGANIZZATIVO – Caroppo evidenzia dunque che se l'azienda incriminata avesse adottato un Modello organizzativo con procedure idonee alla prevenzione dei reati contestati ed avesse istituito un Organismo di vigilanza, avrebbe potuto dimostrare di aver attuato le misure per prevenire il reato contestato ed andare così esente da responsabilità. Nel caso specifico, la società avrebbe potuto dimostrare che il modello organizzativo adottato conteneva specifiche procedure di sicurezza quali il rafforzamento dei sistemi di autenticazione e profilazione degli accessi, la revisione dei protocolli informatici e delle procedure di segnalazione delle anomalie, il potenziamento dei flussi informativi verso l'Organismo di vigilanza e l'istituzione di un programma di formazione obbligatoria per tutto il personale sui rischi informatici e sui reati presupposto di cui al Dlgs 231/01.
L'IMPORTANZA DELLA PREVENZIONE – Il caso analizzato dall'avvocato Marco Caroppo per Astro-Confindustria Sit evidenzia l'importanza cruciale dell'adozione di adeguati Modelli organizzativi nel settore del gioco pubblico, particolarmente esposto ai rischi legati ai delitti informatici. Le società che operano nel gioco online gestiscono infatti sistemi informatici complessi contenenti dati sensibili dei giocatori e informazioni relative alle transazioni finanziarie. L'adozione di un Modello organizzativo ex Dlgs 231/2001 non rappresenta quindi solo un adempimento formale, ma uno strumento concreto di prevenzione dei reati e di tutela dell'azienda, permettendo di dimostrare all'Autorità giudiziaria di aver posto in essere tutte le misure necessarie per prevenire la commissione di reati da parte dei propri dipendenti e collaboratori.
16 Febbraio 2026 
