Diritto e nuove tecnologie - intervista all'avvocato Daniele Minotti, curatore di Penale.it

Cristina Cellucci (CC): Buongiorno avvocato. Vuole presentarsi ai lettori di ComplianceNet?

Daniele Minotti (DM): Sono l'avvocato Daniele Minotti e mi occupo di diritto penale, diritto penale dell'informatica e diritto delle nuove tecnologie. Sono il creatore del sito Penale.it; scrivo anche sul mio blog oltre che su carta, sia specializzata (libri e riviste giuridiche) che non (quotidiani).

CC: Cos'è Penale.it?

DM: Penale.it è un "portale" per il diritto penale e, per mezzo della mailing list, anche un luogo di dibattito sulla materia che tratta i profili accademici del diritto sostanziale e del rito senza trascurare gli aspetti più pratici. Il sito che è suddiviso in materie e, in seconda battuta, per tipologia di documenti, è gestito da una folta redazione formata da giuristi di ogni profilo professionale. Da tempo, abbiamo aperto un'apposita sezione sulla responsabilità delle persone giuridiche, un materia che, malgrado le più recenti e importanti riforme, non attira l'attenzione che dovrebbe. Tengo, comunque, a precisare che Penale.it non  fornisce alcun tipo di consulenza gratuita o a pagamento. La nostra attività è principalmente rivolta agli operatori del diritto.

CC: Cos'è Il Minottino?

DM: Il Minottino è un manuale di sopravvivenza giuridica per blogger, una guida a tutti (o quasi) gli aspetti legali appunto della blogosfera. Sono previsti aggiornamenti anche raccogliendo i suggerimenti postati nei commenti del blog. L'attuale release è la 1.0.0 ma penso che presto (forse per agosto) si arriverà alla 1.1.0, (sto aspettando la motivazione di una sentenza molto importante). Il Minottino è distribuito in forma di ebook (pdf zip, 290 K, 106 pp) e si può scaricare da questa pagina in modo del tutto gratuito. Nel senso che si può scaricare liberamente senza spendere un euro. In più, lo si può anche distribuire a proprio piacimento. Per saperne di più, basta scaricarlo e leggere le note legali  che sono molto permissive.

CC: I contenuti del suo blog sono rilasciati con licenza http://creativecommons.org/licenses/by-nc-nd/2.5/it/ con l'aggiunta che "non sono vietate le libere utilizzazioni, ancorché commerciali, previste dalla legge italiana (artt. 65 e ss. l. 633/41)" Il Minottino è rilasciato con una licenza ad hoc ("…libera e integrale riproducibilità e distribuzione, purché nella sua interezza e senza scopo di lucro.") Come mai non è stata utilizzata una delle licenze "standard" Creative Commons?

DM: Pur riconoscendo l'estrema "comodità" delle licenze CC, ne sento un po' i limiti. Non trovavo coerente con la completa gratuità (e libertà) dell'iniziativa vietare le utilizzazioni commerciali come la citazione da parte di altri autori per i propri scritti appunto commerciali. O, meglio, non gradivo un divieto così apparentemente secco. Se è vero che il legal code della licenza CC spiega che essa non può andare contro la legge (che consente citazioni ed altro), ho preferito specificarlo perché temevo che la cosa non fosse chiara a tutti.

CC: Parliamo della recente legge 48/2008 nota come "legge sui crimini informatici". Cosa cambia, in pratica, per le aziende?

DM: Per le aziende cambia parecchio ed anche per i dipendenti. La legge, recependo anche le indicazioni della Convenzione di Budapest in tema di criminalità informatica, estende i casi di responsabilità amministrativa per i reati commessi da alcuni soggetti dell'azienda stessa. Al d.lgs. 231/2008, infatti, è stato aggiunto l'art. 24-bis che comprende, appunto, detti reati. Il che, ricordato anche che ogni azienda è sempre più informatizzata, comporta maggiore attenzione da parte dell'azienda con le ricadute del caso circa il controllo (di fatto, obbligatorio) sui dipendenti.

CC: I nuovi delitti ipotizzati dalla legge 48 ricadono in gran parte sotto il cappello della 231/01 sulla responsabilità amministrativa delle imprese: significa che eventuali reati informatici commessi da un dipendente solo a favore di se stesso (e non a vantaggio dell'azienda) non comportano una responsabilità anche per l'azienda stessa? Cosa succede se il delitto informatico viene commesso in azienda ma non si può risalire al suo autore?

DM: L'azienda va esente da responsabilità soltanto se il soggetto ha agito nell'interesse proprio o di terzi. Ma, appunto, si tratta di una sorta di inversione di onere della prova a carico dell'azienda la quale, inoltre, ha precisi obblighi circa la predisposizione di modelli organizzativi, di vigilanza e di controllo dei modelli. Per quanto riguarda la commissione del reato da parte di una persona non identificata, la responsabilità dell'azienda non viene meno, anche se, qualora non fosse individuato il ruolo dell'agente (quello richiesto dalla legge come vero e proprio presupposto), questo genere di responsabilità secondo me verrebbe meno.

CC: con la legge 48 cambia qualcosa anche in ambito Privacy?

DM: Come accennato, le nuove responsabilità per i reati informatici comporteranno un abbassamento dei diritti dei lavoratori che potranno essere controllati proprio perché imposto dalla legge.

CC: Da luglio 2008 le banche e gli intermediari finanziari sono soggetti a nuove istruzioni di vigilanza di Bankit relativi alla funzione di conformità (compliance). In pratica l'organo di vigilanza chiede di tenere sotto controllo il rischio di non conformità alle norme (leggi e regolamenti) anche dal punto di vista del danno di immagine. Cosa possono fare le banche per presidiare efficacemente questo rischio? Assumere nuovi avvocati? Rinforzare la cultura legale in azienda?

DM: Le banche, aziende tradizionalmente molto floride, hanno già gruppi, più o meno numerosi, di giuristi d'impresa che, però, per una tradizione un po' miope vengono impiegati quasi esclusivamente nella contrattualistica. Molti giuristi d'impresa, per propria diligenza, già da tempo hanno imparato ad occuparsi di compliance, specie dopo l'entrata in vigore del d.lgs. 231/2001. Ma non sempre i quadri comprendono tale necessità. Circa la scelta tra personale interno od esterno per questa specifica formazione, sono scelte, in realtà, che spettano alla singola azienda, ma penso che la cultura legale in azienda debba essere sicuramente rinforzata, eventualmente con l'aiuto di professionisti esterni.

CC: Ultimamente in Italia si parla molto di computer forensics. Cos'è? Le aziende cosa dovrebbero sapere?

DM: L'ambito naturale della computer forensic è, chiaramente, quello giudiziario. Le stesse tecniche, però, possono dimostrarsi preziosissime per la prevenzione (e anche la repressione) di reati informatici che possono condurre ad una responsabilità dell'azienda. In questa prospettiva, l'assunzione di personale di security "logica" con cognizioni anche di forensics è vivamente consigliato.

CC: Parlando di formazione (aziendale) e di informazione. Lei crede che i siti web/blog possano offrire un valore aggiunto alle aziende? O c'è il rischio dell'approssimazione? Cosa ne pensa dei blog aziendali che in Usa sembra abbiano molto successo. L'Italia non è ancora pronta?

DM: Penso che i blog, anche per la loro struttura "friendly", possano svolgere un ruolo importante all'interno delle aziende e non soltanto per questioni di compliance. Di certo, però, dovrebbero essere curati da persone competenti (interne od esterne) anche perché un'indicazione sbagliata può creare non pochi danni. La qualità dei contenuti è fondamentale. Altrimenti, meglio rinunciare a questa forma di comunicazione ed affidarsi totalmente a soggetti esterni. Purtroppo, in Italia, di blog aziendali (quelli veri) se ne vedono ancora pochi. Spero che questa tendenza finisca presto auspicando anche la nascita di nuove figure professionali a cavallo tra comunicazione e management, eventualmente qualificato e diversificato.

CC: Grazie avvocato.

DM: Grazie a voi.

Altre interviste in questo sito

ComplianceNet: