AdSense4

Bing

AdSense3

domenica 3 febbraio 2019

Frodi ed illeciti in azienda: strategie difensive tra giurisprudenza e strumenti investigativi (Convegno Milano-Bocconi, 12.4.19)



CONVEGNO
 AXERTA INVESTIGATION CONSULTING


Patologie aziendali

Frodi e illeciti in azienda: 
strategie difensive tra 
giurisprudenza e strumenti investigativi 


12 aprile 2019 
Università Bocconi 
Via Gobbi 5, Milano 



In collaborazione con:
Università Bocconi (Milano)
A.I.D.P. - Associazione Italiana per la Direzione del Personale
A.I.P.S.A. - Associazione Italiana Professionisti Security Aziendale


PROGRAMMA 

Moderatore: Dott. Meo Ponte (Giornalista, collaboratore di “Repubblica" e “Corriere della Sera")

Ore 9.15 - Accreditamento e welcome coffee

Ore 10.00 - Saluti di benvenuto e apertura lavori:  
Gen. C.A. CC. Michele Franzè (Presidente di Axerta S.p.A. Investigation Consulting) 
Prof. Gianmario Verona (Magnifico Rettore Università Bocconi)
Gen. C.A. Gaetano Maruccia (Comandante Interregionale CC. di Milano) 
Dott. Renato Saccone (Prefetto di Milano) “I controlli a difesa del patrimonio aziendale: opportunità e prerogative di legge per il datore di lavoro”

INTERVENTI

La gestione del rischio di security in azienda: un approccio multidimensionale
Dott. Andrea Chittaro (Presidente AIPSA - Associazione Italiana Professionisti Security Aziendale)

I controlli a difesa del patrimonio aziendale: opportunità e prerogative di legge per il datore di lavoro
Avv. Paola Rubini (Studio Legale Ghedini Longo, Esperta di diritto penale d’impresa)

Il whistleblowing in Italia. Dal diritto di critica alla sistemazione normativa: procedure aziendali, protezioni e modelli organizzativi
Avv. Marco Sideri (Studio Legale Toffoletto De Luca Tamajo e Soci)

Il contributo delle discipline manageriali e degli approcci di Forensic Accounting alla mitigazione del rischio di frodi aziendali
Prof. Nicola Pecchiari (Docente Dipartimento di Accounting, Università Bocconi)

Esperienza giurisprudenziale sugli illeciti nel mondo del lavoro
Dott. Fabio Massimo Gallo (Giudice del lavoro e Presidente Vicario della Corte di Appello di Roma)

Seguirà una tavola rotonda (Question time - 30min)

Ore 13.00 - Saluto finale e conclusioni
Dott.ssa Isabella Covili Faggioli (Presidente nazionale A.I.D.P. - Associazione Italiana per la Direzione del Personale)

light lunch


Per iscriversi all'evento e per informazioni: 
Segreteria eventi Axerta (marketing@axerta.it - tel. 02 21119023, www.axerta.it/events.html#ktitoloevents)

Convegno accreditato dall'Ordine degli Avvocati di Milano
Pagina Linkedin: cliccare QUI
Programma: www.axerta.it/editorcms/programma_patologie_aziendali.pdf





sabato 19 gennaio 2019

Pecunia non olet: presentazione del libro inchiesta di Alessandro Da Rold


Il giornalista Alessandro Da Rold racconta nel suo ultimo libro inchiesta Pecunia non olet la storia della mafia che non uccide, ma vende armi. 
Elicotteri, mitragliatrici, bombe, fregate militari: un arsenale ricchissimo e pronto all’uso là dove le guerre causano morti e arricchiscono i portafogli di speculatori e dittatori. 

L'autore presenta il suo libro alla Feltrinelli di Piazza Duomo a Milano, lunedì 21 gennaio 2019 alle 18.30


All'incontro interverranno anche il Magistrato Alfredo Robledo e il giornalista Peter Gomez.

La storia raccontata da Da Rold è incredibile perché fa vedere come l’illegalità criminale possa trasformarsi in una pratica normale e ripetuta, al punto che un latitante come Vito Palazzolo, "uno dei soggetti più pericolosi della comunità criminale internazionale", ricercato già da Giovanni Falcone e finalmente arrestato nel 2012, riesce a entrare nei salotti buoni del commercio internazionale e fare affari con Finmeccanica, Agusta e vari governi, incluso il Sudafrica di Nelson Mandela.

A dire di no sono pochi: alcuni valorosi magistrati del Sud, di Napoli e Palermo, cui si affiancheranno quelli del Nord, di Busto Arsizio e di Milano. Dice di no, pagandone il prezzo, anche Francescomaria Tuccillo, avvocato e manager napoletano, direttore di Finmeccanica per l’Africa subsahariana. Nonostante il vento spiri a favore di chi agisce nell’illecito, alla fine la verità vincerà.

La partita è enorme: in gioco c’è il destino del colosso della difesa, attraversato da scandali e arresti e da un intrico di poteri, in cui si mescolano politica, servizi segreti, mafia, massoneria, criminalità organizzata, che ha compromesso la competitività dell’industria italiana e messo in gioco il futuro economico del nostro paese, la sua capacità di creare lavoro e il suo ruolo sullo scacchiere internazionale.



domenica 16 dicembre 2018

Le frodi carosello: quando è l'IVA ad essere evasa

Hervé Falciani, nel libro "La cassaforte degli evasori", racconta il legame esistente tra "segreto bancario" e "segreto professionale", quando il nascondere informazioni ha come fine l'evasione fiscale.


Nei paesi cosiddetti off-shore, il "segreto bancario" assicura l'anonimato delle transazioni finanziarie, mentre il "segreto professionale" impedisce di sapere la reale natura della controparte commerciale. In altre parole, in quei Paesi non sempre è possibile determinare se la controparte è una "società scudo", una "cartiera" oppure un'impresa con una vera attività economica.
Il terreno diviene più scivoloso se la prestazione richiesta è una consulenza, frutto di un'attività intellettuale difficilmente quantificabile e che pertanto può rivelarsi anche fittizia.
Il problema principale è stabilire se un determinato pagamento abbia una giustificazione sottostante e in quale misura questo pagamento sia da sottoporre a tassazione.

L'Imposta sul Valore Aggiunto, in particolare, rappresenta la principale fonte tributaria degli Stati e le tecniche più utilizzate per evaderla prevedono forme di triangolazione economica tra diversi Paesi.
Chi architetta questo tipo di frode, batte la concorrenza vendendo ad un prezzo minore un determinato prodotto in un determinato Stato, grazie al mancato pagamento dell'IVA al Paese che dovrebbe incassarla.
Ma vediamo come funziona lo schema, ben descritto da Falciani nel suo libro.

La società A con sede in Italia produce un oggetto e lo vende alla società B, in Francia, ad un prezzo di 100 euro, senza applicazione dell'IVA.
La società B rivende lo stesso bene ad un'altra società francese C ad un prezzo di 120 euro, applicando l'IVA al 20%.
La società B, che incassa 20 euro di IVA da C, dovrebbe versare l'imposta allo Stato francese, ma non lo fa (perché fallirà).
Mentre la società C chiede e ottiene dallo Stato il rimborso IVA di 20 euro che ha pagato a B.
Se B e C sono riconducibili allo stesso soggetto economico, cioè l'architetto della truffa, a livello consolidato hanno speso 100 euro per acquistare il bene dalla società italiana A e hanno ricevuto un rimborso dallo Stato francese di 20 euro.
Di fatto, quindi, è come se avessero pagato il bene 80 euro.
A questo punto C può rivendere alla società tedesca D, lo stesso bene a 95 euro, alterando in tal modo la concorrenza sui mercati europei.
Una volta chiusa una serie di transazioni come quella appena descritta, la società C, come la società B, falliranno e il meccanismo si ripeterà con le stesse modalità in altri Paesi con altri beni e società appositamente costituite.

Queste frodi IVA sono dette, appunto, "carosello" perché prevedono rapidi cicli di attività illecite che creano i presupposti per incassare l'IVA senza versarla.
Le società cosiddette "cartiera", cioè produttrici di ordini e fatture senza che sviluppino vere e proprie attività reali, sono high frequency creations, in quanto vengono create in pochi giorni e una volta finalizzata la truffa vengono fatte sparire, anche grazie a professionisti compiacenti.


giovedì 6 dicembre 2018

Frodi amministrativo-contabili: una realtà sempre più diffusa

il fatto

In un’importante società chimica il responsabile amministrazione e contabilità ha
sottratto 3 milioni di euro in pochi anni. 
Lo ha potuto fare grazie all’accesso non autorizzato ai servizi bancari online che gli hanno permesso di effettuare dapprima alcuni pagamenti di importo ridotto, pari a 20.000 euro, poi aumentati gradualmente sino a raggiungere 80.000 euro al mese. 
La frode è stata nascosta falsificando le riconciliazioni bancarie verificate da lui stesso e nascondendo gli importi nelle voci contabili scarsamente controllate dai revisori dei conti. 
Alla fine la frode è stata scoperta per un controllo casuale degli estratti conto bancari scaricati online. 

Ebbene, sembrerebbe che questo racconto sia da classificare come "fantasioso", al di fuori della realtà, ma non è così. Vediamo il perché.
Ricorrendo ai pilastri della triangle theory si potrebbe sostenere che chi ha effettuato l'atto fraudolento:
a) abbia avuto pressioni famigliari – il responsabile della contabilità era pressato da ingenti debiti legati alla separazione dalla moglie e da scelte d'investimento sbagliate;
b) si sia lasciato trascinare in un'escalation senza logica – la frode è incominciata sottraendo 20.000 euro al mese fino ad arrivare a 80.000 euro al mese;
c) lo stesso contesto sociale ha facilitato l'escalation – è scrollato il mercato delle materie prime nel quale il responsabile amministrativo-contabile aveva investito buona parte del suo patrimonio.




Ma come fare a prevenire questo tipo di frodi?
Innanzitutto, limitando i punti deboli nel sistema del controllo interno.

Infatti, nonostante esistessero policy di autorizzazione e riconciliazione bancaria, queste erano del tutto inapplicate.
I codici di autenticazione elettronica utilizzati per effettuare i pagamenti online venivano conservati in un cassetto della scrivania, liberamente accessibile. Addirittura una delle password di accesso era riportata in un file word salvato nella rete aziendale.
Inizialmente i pagamenti irregolari erano di importo molto basso, solo per verificare che nessuno si occupasse dei controlli e intercettasse tali flussi irregolari.
Il responsabile della contabilità, inoltre, ha incaricato se stesso di effettuare le riconciliazioni bancarie ritenendo questa procedura inutile e antieconomica per l'azienda.
Peraltro le riconciliazioni venivano effettuate in maniera superficiale e non formalizzata.

In secondo luogo non esistevano procedure automatiche finalizzate ad individuare indicatori di anomalia. I controlli budgetari erano scarsi e i forecast non erano monitorati attentamente da parte di una struttura a ciò preposta.

In terzo luogo non esisteva un piano di risposta alla frode ed erano assenti i canali per la denuncia anonima delle frodi da parte del personale (il cd. "whistleblowing").

Ma il fattore che ha favorito la frode, si deve certamente ricercare nella qualità dell'ambiente aziendale.
Infatti il livello di attenzione sulle tematiche anti-frode era, in generale, molto basso.
Non venivano organizzati corsi di formazione che sottolineassero l’importanza dei controlli e della vigilanze sui più importanti processi aziendali.
La struttura aziendale non era stata adeguatamente responsabilizzata sui rischi di frode interna e si tolleravano atteggiamenti scorretti da parte dei lavoratori.

Ma come potuta essere individuatala frode?
La frode poteva essere intercettata già a partire dal primo mese utilizzando strumenti e metodologie diverse. In ordine sparso:
  • grazie alle verifiche sulla corretta tenuta delle credenziali di accesso ai conti correnti online e sullo loro modalità di utilizzo; 
  • attraverso una seconda verifica a campione delle riconciliazioni bancarie, da parte di un'altra area aziendale (ad esempio dall'ufficio tesoreria);
  • grazie all'introduzione di un semplice programma routinario che avrebbe confrontato i pagamenti con tutta un'altra serie di dati (n. fattura, consegna della prestazione o del bene fornito, identità del fornitore, motivazione/autorizzazione del pagamento eccetera) al fine di fare emergere le incongruenze da investigare;
  • grazie alla suddivisione su due o più strutture dei controlli sui bonifici effettuati;
  • eccetera...

domenica 4 novembre 2018

Il futuro della cybersecurity in Italia: ambiti progettuali strategici

Il Laboratorio Nazionale di Cybersecurity del CINI (Consorzio Interuniversitario Nazionale per l’Informatica), con il supporto del Sistema di Informazione per la Sicurezza della Repubblica, nel 2015 ha realizzato la prima edizione del "Libro Bianco" sulla cybersecurity per analizzare le principali sfide che il nostro Paese avrebbe dovuto affrontare nei cinque anni successivi. 


A distanza di tre anni, lo scorso 9 ottobre 2018, è stata diffusa la versione aggiornata del volume, comprendete le più recenti azioni che la comunità nazionale della ricerca in tema di sicurezza e contrasto al crimine informatico ritiene essenziali a complemento di quanto contenuto nel Decreto del Presidente del Consiglio dei Ministri del 17 febbraio 2017 (a firma di Paolo Gentiloni) "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali".

Come indicato nell'introduzione del Libro Bianco, la lettura non richiede particolari conoscenze tecniche; il testo, intatti, è fruibile da chiunque utilizzi strumenti informatici o navighi in rete. 
I temi trattati riguardano molteplici aspetti della cybersecurity, che vanno dalla definizione di infrastrutture e centri necessari a organizzare la difesa, alle azioni e alle tecnologie da sviluppare per essere protetti al meglio, dall’individuazione delle principali tecnologie da difendere, alla proposta di un insieme di azioni per la formazione, la sensibilizzazione e la gestione dei rischi. 

Lo studio del Laboratorio Nazionale di Cybersecurity è inoltre accompagnato da una serie di raccomandazioni agli organi tecnico-politici preposti per affrontare al meglio la sfida della trasformazione digitale italiana. 
Naturalmente tali raccomandazioni non possono intendersi esaustive, ma vanno a toccare i punti essenziali per un corretto sviluppo di una strategia della sicurezza cibernetica a livello nazionale. 

Il Libro Bianco sulla cybersecurity è scaricabile nella versione italiana cliccando QUI e nella versione inglese cliccando QUI.


lunedì 24 settembre 2018

I sistemi di prevenzione della corruzione ISO 37001:2016 nella PA


evento on-line

I sistemi di prevenzione della corruzione 
ISO 37001:2016 
nella pubblica amministrazione

martedì 9 ottobre 2018
11:00  -  13:00



La Rete dei Comuni organizza un "webinar" nell'ambito del progetto DigiPro, finanziato con fondi del Pon-Governance 2014-2020. 

Nel corso dell’incontro verranno approfondite le sinergie del sistema di gestione ISO 37001 con i Piani Anticorruzione.

ISO ha recentemente pubblicato uno specifico standard in materia di prevenzione della corruzione. Si tratta della norma UNI ISO 37001 pensata per aiutare le organizzazioni pubbliche e private di qualsiasi dimensione a prevenire il compimento di atti corruttivi, specifica le misure e i controlli che un’organizzazione è chiamata ad adottare per prevenire la corruzione.
Tale norma potrà essere utilizzata dagli Enti Pubblici come asset su cui puntare in vista de prossimo aggiornamento dei Piani Triennali di Prevenzione della corruzione.

Docente: Ermelindo Lungaro (esperto di legalità di Anci Lombardia).

Per iscriversi all'evento cliccare QUI




lunedì 10 settembre 2018

Seminario di CT, periti e magistrati in materia di reati societari e fallimentari




Seminario
di consulenti tecnici, periti e magistrati 
in materia di reati societari 
e fallimentari


Metodi di analisi e attività del consulente tecnico 
nelle indagini e nei processi per reati dibancarotta 

SAN SERVOLO
Venezia 28-30 settembre 2018



Programma

VENERDÌ 28 SETTEMBRE 1° SESSIONE
- h 14,30 – 18,30 - 
Inquadramento del contesto e primo esame dei bilanci 

SABATO 29 SETTEMBRE 2° SESSIONE 
- h 9,00 – 18,00 - 
Acquisizioni documentali e approfondimenti analitici con riferimento alle principali tipologie di condotte delittuose 

DOMENICA 30 SETTEMBRE 3° SESSIONE 
- h 9,00 – 13,00 - 
Il Consulente Tecnico del PM nel dibattimento. Illustrazione e discussione di casi concreti dalla fase delle indagini al processo.


L’incontro si svolgerà in forma seminariale articolato in sessioni introdotte e coordinate da magistrati e professionisti esperti nel settore del diritto penale dell’economia e sarà limitato a 80 partecipanti

Per ulteriori informazioni ed iscrizione: www.cespec.eu, sezione EVENTI 

Coordinamento scientifico: 
Donata Costa, Procura della Repubblica di Milano, 
Roberto Fontana, Procura della Repubblica di Milano, 
Walter Mapelli, Procura della Repubblica di Bergamo, 
Giorgio Orano, Procura della Repubblica di Roma,
Fabio Regolo, Procura di Catania.



giovedì 6 settembre 2018

Whistleblowing: i dipendenti non possono improvvisarsi investigatori privati

di Grace Betti*



La Suprema Corte di Cassazione, con Sentenza n. 35792/2018 ha analizzato per la prima volta la disciplina prevista dall’art. 54 bis del D. Lgs. 165/2001, introdotto dall’art. 1 co. 51 D. Lgs. 190/2012 nel testo aggiornato dall’art. 1 della l. 179/2017, tutelante il soggetto che, legato da un rapporto pubblicistico con l’amministrazione, rappresenti fatti antigiuridici appresi nell’esercizio del pubblico ufficio o servizio.

Nel caso concreto, il dipendente pubblico avrebbe illecitamente effettuato l’accesso al sistema informatico utilizzando le credenziali di un altro dipendente e quindi avrebbe creato (ed immediatamente eliminato), un falso documento di fine rapporto a nome di una persona che non aveva mai prestato servizio presso l’amministrazione.
Questo, con il fine ultimo di dimostrare la vulnerabilità del sistema.

Il dipendente pubblico deduceva la sussistenza della causa di giustificazione ai sensi degli artt. 54 e 54 bis del D. Lgs. 165/2001 secondo i quali, sulla base del vincolo di fedeltà che lega il dipendente all’amministrazione, sul ricorrente gravava l’obbligo di segnalazione di condotte illecite di cui fosse venuto a conoscenza nell’esercizio del servizio.

La Corte di Cassazione, riprendendo l’art. 54 bis ha quindi chiarito la duplice ratio di tale norma, ossia:
  • delineare uno status giuslavoristico in favore del soggetto che segnala illeciti; 
  • favorire l’emersione, dall’interno delle organizzazioni pubbliche, di fatti illeciti, promuovendo forme più incisive di contrasto alla corruzione. 
Inoltre, la Corte ha chiarito che tale normativa non fonda alcun obbligo di attiva acquisizione di informazioni, autorizzando improprie attività investigative, in violazione dei limiti posti dalla legge. Sono applicati pertanto i medesimi principi che giustificano la condotta dell’agente provocatore.

Tale condotta, infatti, non si deve inserire con rilevanza causale nell’iter criminis ma deve intervenire in modo indiretto e marginale concretizzandosi prevalentemente in un’attività di osservazione, di controllo e di contenimento delle azioni illecite altrui.


Sulla base delle motivazioni della Corte, ai dipendenti non è richiesto di porre in essere una condotta attiva o di improvvisarsi investigatori compiendo atti illeciti con il fine di ricercare/dimostrare elementi funzionale alla segnalazione di potenziali illeciti, ma esclusivamente di riportare condotte di cui si è venuti a conoscenza nell’esercizio del servizio.

Tuttavia, per il dipendente pubblico è scattata la non punibilità ai sensi dell’art. 131 bis c.p.: esclusione della punibilità per particolare tenuità del fatto.


* Grace Betti è Forensic Accountant presso Axerta Investigation Consulting




giovedì 26 luglio 2018

Reati societari e corruzione tra privati (Convegno, 28.11.18 - Milano)


Synergia Formazione S.r.l.
Via Pomba, 14, 10123 – Torino
Tel. 011 812 91 12 – Fax 011 817 36 63 – C.F. e P. IVA 08906900017


Focus D.Lgs. 231/01
REATI SOCIETARI 
CORRUZIONE TRA PRIVATI

Milano, 28 Novembre 2018
Centro Congressi Palazzo delle Stelline




PROGRAMMA


Mattina

v La costruzione e la perimetratura del modello organizzativo ex D.Lgs. 231/01 in materia di reati societari e corruzione tra privati; il ruolo dell’OdV nella definizione del MOG
  • indicazioni operative per la costruzione della parte speciale del MOG in tema di reati societari
  • norma ISO 37001e nuovo sistema di gestione del rischio corruzione
  • responsabilità dei manager nel reato di corruzione tra privati
  • importanza della formazione e del training in ambito 231/01
Avv. Giuseppe Vaciago 
(Partner R&P Legal Studio Associato, Milano)


v I reati societari ex D. Lgs. 231/01: analisi delle singole fattispecie ed esperienze riscontrate nell’attività professionale
  • corruzione nazionale
  • corruzione internazionale
  • falso in bilancio
  • 231/01 e compliance OCSE
Avv. Marco Calleri 
(Partner Studio Legale Mucciarelli, Milano)


v La corruzione tra privati (art. 2635 c.c.): analisi della normativa anticorruzione ed esperienze maturate nell’attività professionale
  • corruzione tra privati: soggetti, condotta, finalità, procedibilità, confisca
  • istigazione alla corruzione tra privati (art. 2635 bis c.c.)
  • corruzione tra privati e D. Lgs. 231/01: soggetti, interesse/vantaggio dell’ente, sanzioni, MOG
  • recente giurisprudenza e casi professionali
Avv. Andrea Scarpellini 
(Resp. Dip. Diritto Penale Economia -  Partner STVTAX,  Milano)


v La disciplina delle segnalazioni in azienda (c.d. whistleblowing): aggiornamento del modello organizzativo, best practice e profili penali
  • disciplina del whistleblowing nel settore privato: destinatari e ambito di applicazione
  • oggetto delle segnalazioni e requisiti del MOG
  • soggetti destinatari delle segnalazioni e possibile conflitto di competenze
  • fattori che generano la  necessità di tutela penale: abuso e neutralizzazione della segnalazione
  • fenomeno del whistleblowing a livello internazionale e best practice di riferimento
Avv. Andrea Puccio 
(Founding & Managing Partner Puccio Giovannini – Penalisti Associati, Milano)


Pomeriggio

TAVOLA ROTONDA

Moderatore: Avv. Barbara Indovina

v  Come difendersi dalle accuse e l’impostazione della difesa in materia di reati societari e, in particolare, di corruzione tra privati: approccio multidisciplinare sia come CT dell’accusa che come CT della difesa
  • approccio multidisciplinare come metodo vincente di difesa
  • ruolo del CT nell’ambito dell’accusa e della difesa
  • ruolo dell’OdV nelle verifiche
  • ruolo del penalista nella strategia difensiva e nel coordinamento multidisciplinare
  • informatica forense quale indispensabile strumento di analisi in mano alla difesa
  • vicende processuali nell’esperienza professionale
  • analisi della recente giurisprudenza in materia
  • case study: answer & question tra attori coinvolti
Dott. Stefano Martinazzo 
          (Responsabile Forensic Accounting & Litigation Dept. AXERTA S.p.A.)     

Avv. Gian Filippo Schiaffino
        (Founding Partner AMTF Avvocati, Milano)     

Dott. Alessandro Borra
          (Digital Forensics e Sicurezza Informatica, Amministratore TRE 14 S.r.l., Milano)       

Avv. Barbara Indovina 
          (Head of Legal Affairs, Forensica)        


La partecipazione all'evento è a numero chiuso.
La priorità è determinata dalla ricezione della scheda di iscrizione.
La quota di partecipazione può essere finanziata dai Fondi Paritetici InterprofessionaliPer scaricare la brochure del programma e per iscriversi, cliccare QUI


martedì 26 giugno 2018

Digital forensics alla luce del GDPR

Il nuovo regolamento europeo in materia di privacy (n. 2016/679/CE), altresì indicato con l'acronimo "GDPR" è già argomento di una notevole quantità di convegni, articoli e manuali, tanto che il blog non aggiungerà altra letteratura sull'argomento.




Pare utile, tuttavia, fare un breve cenno alle disposizioni contenute all'art. 32 del Regolamento, in merito alle misure di sicurezza che il titolare (o il responsabile del trattamento) deve adottare.

L'elenco, non esaustivo, indica le seguenti misure:
  • i dati personali devono esse "pseudonomizzati" e cifrati;
  • la struttura tecnico-organizzativa dei sistemi e dei servizi di trattamento deve garantire il permanente mantenimento della riservatezza, dell’integrità, della disponibilità e della resilienza dei dati ivi gestiti;
  • in caso di incidente fisico e/o tecnico, l'organizzazione aziendale deve garantire il ripristino tempestivo della disponibilità dei dati e del relativo accesso;
  • introduzione di procedure operative in grado di testare, monitorare e valutare l'efficacia delle misure tecnico-organizzative sopra elencate.
Il sistema organizzativo indicato dal GDPR implica, quindi, la pianificazione di vere e proprie attività di risk assessment del tutto analoghe, come approccio teorico-pratico, alle procedure previste in tema di controlli interni, modelli organizzativi ex d.lgs. 231/01 e fraud risk management.

La domanda sorge spontanea. Assisteremo anche in materia di privacy alla diffusione di specifici servizi di consulenza, come successo con l'introduzione del "modello 231" e l'utilizzo dei metodi "risk based approch"?
E' molto probabile di sì!

A tal proposito si osservi come il GDPR definisce i gradienti del "data breach" (violazioni dei diritti personali) a seconda della gravità, della tipologia, del numero e dell'estensione delle varie violazioni, indicando i connessi obblighi di notifica e di segnalazione e i rimedi da adottare.
E' un approccio legislativo già visto e già abbondantemente applicato in altri ambiti in azienda; basti pensare alle "scale di rischio", classificate ricorrendo ai colori del semaforo.

E' piuttosto chiaro, infine, come le procedure di "digital forensics" possano contribuire efficacemente alle indagini informatiche finalizzate ad individuare i responsabili di possibili violazioni dei dati personali.
Anche in questo caso la tecnica esiste già, bisogna solo estenderne l'applicazione alla tutela dei dati personali.