Paolo Galdieri / Criminalità informatica / Reato informatico in azienda
Il reato informatico in azienda è un’attività illegale che coinvolge l’utilizzo non autorizzato, manipolativo o dannoso dei sistemi informatici dell’azienda, come l’accesso non autorizzato ai dati, il furto di informazioni sensibili, la frode, il danneggiamento dei sistemi o altri atti criminali perpetrati tramite mezzi digitali.
Il decreto legislativo italiano n. 231 del 2001 ha istituito la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni, anche prive di personalità giuridica, per i reati commessi nell’interesse o a vantaggio dell’ente stesso da parte dei suoi rappresentanti o dipendenti.
La responsabilità 231 può essere applicata anche ai reati informatici commessi all’interno di un’azienda, purché questi reati siano stati commessi nell’interesse o a vantaggio dell’azienda stessa. Tuttavia, la responsabilità 231 non si applica a tutti i reati informatici, ma solo a quelli previsti dalla legge come rilevanti per questa forma di responsabilità.
Le tipologie di reati informatici da cui può discendere una responsabilità ex 231 dell’azienda includono:
Responsabilità amministrativa delle società e degli enti, Decreto legislativo 8 giugno 2001,n.231
Soggetti
1. Il presente decreto legislativo disciplina la responsabilità degli enti per gli illeciti amministrativi dipendenti da reato. 2. Le disposizioni in esso previste si applicano agli enti forniti di personalità giuridica e alle società e associazioni anche prive di personalità giuridica. 3. Non si applicano allo Stato, agli enti pubblici territoriali, agli altri enti pubblici non economici nonché agli enti che svolgono funzioni di rilievo costituzionale.
Responsabilità dell’ente
1. L’ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio:
a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso;
b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a).
2. L’ente non risponde se le persone indicate nel comma 1 hanno agito nell’interesse esclusivo proprio o di terzi.
Soggetti in posizione apicale e modelli di organizzazione dell’ente
1. Se il reato è stato commesso dalle persone indicate nell’articolo 5, comma 1, lettera a), l’ente non risponde se prova che:
a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
b) il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo;
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla lettera b).
2. In relazione all’estensione dei poteri delegati e al rischio di commissione dei reati, i modelli di cui alla lettera a), del comma 1, devono rispondere alle seguenti esigenze:
a) individuare le attivita’ nel cui ambito possono essere commessi reati;
b) prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;
c) individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
d) prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli;
e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
2-bis. I modelli di cui alla lettera a) del comma 1 prevedono:
a) uno o più canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione;
b) almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;
c) il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione;
d) nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.
2-ter. L’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni di cui al comma 2-bis può essere denunciata all’Ispettorato nazionale del lavoro, per i provvedimenti di propria competenza, oltre che dal segnalante, anche dall’organizzazione sindacale indicata dal medesimo.
2-quater. Il licenziamento ritorsivo o discriminatorio del soggetto segnalante è nullo. Sono altresì nulli il mutamento di mansioni ai sensi dell’articolo 2103 del codice civile, nonché qualsiasi altra misura ritorsiva o discriminatoria adottata nei confronti del segnalante. È onere del datore di lavoro, in caso di controversie legate all’irrogazione di sanzioni disciplinari, o a demansionamenti, licenziamenti, trasferimenti, o sottoposizione del segnalante ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro, successivi alla presentazione della segnalazione, dimostrare che tali misure sono fondate su ragioni estranee alla segnalazione stessa.
3. I modelli di organizzazione e di gestione possono essere adottati, garantendo le esigenze di cui al comma 2, sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della giustizia che, di concerto con i Ministeri competenti, può formulare, entro trenta giorni, osservazioni sulla idoneità dei modelli a prevenire i reati.
4. Negli enti di piccole dimensioni i compiti indicati nella lettera b), del comma 1, possono essere svolti direttamente dall’organo dirigente.
4-bis. Nelle società di capitali il collegio sindacale, il consiglio di sorveglianza e il comitato per il controllo della gestione possono svolgere le funzioni dell’organismo di vigilanza di cui al comma 1, lettera b).
5. E’ comunque disposta la confisca del profitto che l’ente ha tratto dal reato, anche nella forma per equivalente.
Soggetti sottoposti all’altrui direzione e modelli di organizzazione dell’ente
1. Nel caso previsto dall’articolo 5, comma 1, lettera b), l’ente è responsabile se la commissione del reato e’ stata resa possibile dall’inosservanza degli obblighi di direzione o vigilanza. 2. In ogni caso, è esclusa l’inosservanza degli obblighi di direzione o vigilanza se l’ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi. 3. Il modello prevede, in relazione alla natura e alla dimensione dell’organizzazione nonché al tipo di attività svolta, misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio. 4. L’efficace attuazione del modello richiede: a) una verifica periodica e l’eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell’organizzazione o nell’attività; b) un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
Autonomia delle responsabilità dell’ente
1. La responsabilità dell’ente sussiste anche quando: a) l’autore del reato non e’ stato identificato o non è imputabile; b) il reato si estingue per una causa diversa dall’amnistia. 2. Salvo che la legge disponga diversamente, non si procede nei confronti dell’ente quando e’ concessa amnistia per un reato in relazione al quale e’ prevista la sua responsabilita’ e l’imputato ha rinunciato alla sua applicazione. 3. L’ente può rinunciare all’amnistia.
Sanzioni amministrative
Le sanzioni per gli illeciti amministrativi dipendenti da reato sono: a) la sanzione pecuniaria; b) le sanzioni interdittive; c) la confisca; d) la pubblicazione della sentenza. a) l’interdizione dall’esercizio dell’attività; b) la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; c) il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; d) l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi; e) il divieto di pubblicizzare beni o servizi.
Sanzione amministrativa e pecuniaria
Criteri di commisurazione della sanzione pecuniaria
Casi di riduzione della sanzione pecuniaria
1. La sanzione pecuniaria è ridotta della metà e non può comunque essere superiore a euro 103.291 se: a) l’autore del reato ha commesso il fatto nel prevalente interesse proprio o di terzi e l’ente non ne ha ricavato vantaggio o ne ha ricavato un vantaggio minimo; b) il danno patrimoniale cagionato è di particolare tenuità. 2. La sanzione è ridotta da un terzo alla metà se, prima della dichiarazione di apertura del dibattimento di primo grado: a) l’ente ha risarcito integralmente il danno e ha eliminato le conseguenze dannose o pericolose del reato ovvero si è comunque efficacemente adoperato in tal senso; b) è stato adottato e reso operativo un modello organizzativo idoneo a prevenire reati della specie di quello verificatosi. 3. Nel caso in cui concorrono entrambe le condizioni previste dalle lettere del precedente comma, la sanzione è ridotta dalla metà ai due terzi. 4. In ogni caso, la sanzione pecuniaria non può essere inferiore a euro 10.329.
Sanzioni interdittive
1. Le sanzioni interdittive si applicano in relazione ai reati per i quali sono espressamente previste, quando ricorre almeno una delle seguenti condizioni: a) l’ente ha tratto dal reato un profitto di rilevante entità e il reato è stato commesso da soggetti in posizione apicale ovvero da soggetti sottoposti all’altrui direzione quando, in questo caso, la commissione del reato è stata determinata o agevolata da gravi carenze organizzative; b) in caso di reiterazione degli illeciti. 2. Fermo restando quanto previsto dall’articolo 25, comma 5, le sanzioni interdittive hanno una durata non inferiore a tre mesi e non superiore a due anni. 3. Le sanzioni interdittive non si applicano nei casi previsti dall’articolo 12, comma 1.
Criteri di scelta delle sanzioni interdittive
Le sanzioni interdittive hanno ad oggetto la specifica attività alla quale si riferisce l’illecito dell’ente. Il giudice ne determina il tipo e la durata sulla base dei criteri indicati nell’articolo 11, tenendo conto dell’idoneità delle singole sanzioni a prevenire illeciti del tipo di quello commesso. Il divieto di contrattare con la pubblica amministrazione può anche essere limitato a determinati tipi di contratto o a determinate amministrazioni. L’interdizione dall’esercizio di un’attività comporta la sospensione ovvero la revoca delle autorizzazioni, licenze o concessioni funzionali allo svolgimento dell’attività. Se necessario, le sanzioni interdittive possono essere applicate congiuntamente. L’interdizione dall’esercizio dell’attività si applica soltanto quando l’irrogazione di altre sanzioni interdittive risulta inadeguata.
Sanzioni interdittive applicate in via definitiva
1. Può essere disposta l’interdizione definitiva dall’esercizio dell’attività se l’ente ha tratto dal reato un profitto di rilevante entità ed è già stato condannato, almeno tre volte negli ultimi sette anni, alla interdizione temporanea dall’esercizio dell’attività. 2. Il giudice può applicare all’ente, in via definitiva, la sanzione del divieto di contrattare con la pubblica amministrazione ovvero del divieto di pubblicizzare beni o servizi quando è già stato condannato alla stessa sanzione almeno tre volte negli ultimi sette anni. 3. Se l’ente o una sua unità organizzativa viene stabilmente utilizzato allo scopo unico o prevalente di consentire o agevolare la commissione di reati in relazione ai quali è prevista la sua responsabilità è sempre disposta l’interdizione definitiva dall’esercizio dell’attività e non si applicano le disposizioni previste dall’articolo 17.
Riparazione delle conseguenze del reato
1. Ferma l’applicazione delle sanzioni pecuniarie, le sanzioni interdittive non si applicano quando, prima della dichiarazione di apertura del dibattimento di primo grado, concorrono le seguenti condizioni: a) l’ente ha risarcito integralmente il danno e ha eliminato le conseguenze dannose o pericolose del reato ovvero si è comunque efficacemente adoperato in tal senso; b) l’ente ha eliminato le carenze organizzative che hanno determinato il reato mediante l’adozione e l’attuazione di modelli organizzativi idonei a prevenire reati della specie di quello verificatosi; c) l’ente ha messo a disposizione il profitto conseguito ai fini della confisca. 1-bis. In ogni caso, le sanzioni interdittive non possono essere applicate quando pregiudicano la continuità dell’attività svolta in stabilimenti industriali o parti di essi dichiarati di interesse strategico nazionale ai sensi dell’articolo 1 del decreto-legge 3 dicembre 2012, n. 207, convertito, con modificazioni, dalla legge 24 dicembre 2012, n. 231, se l’ente ha eliminato le carenze organizzative che hanno determinato il reato mediante l’adozione e l’attuazione di modelli organizzativi idonei a prevenire reati della specie di quello verificatosi. Il modello organizzativo si considera sempre idoneo a prevenire reati della specie di quello verificatosi quando nell’ambito della procedura di riconoscimento dell’interesse strategico nazionale sono stati adottati provvedimenti diretti a realizzare, anche attraverso l’adozione di modelli organizzativi, il necessario bilanciamento tra le esigenze di continuità dell’attività produttiva e di salvaguardia dell’occupazione e la tutela della sicurezza sul luogo di lavoro, della salute, dell’ambiente e degli altri eventuali beni giuridici lesi dagli illeciti commessi.
Pubblicazione della sentenza di condanna
1. La pubblicazione della sentenza di condanna può essere disposta quando nei confronti dell’ente viene applicata una sanzione interdittiva. 2. La pubblicazione della sentenza avviene ai sensi dell’articolo 36 del codice penale nonché mediante affissione nel comune ove l’ente ha la sede principale. 3. La pubblicazione della sentenza è eseguita, a cura della cancelleria del giudice, a spese dell’ente.
Confisca
1. Nei confronti dell’ente è sempre disposta, con la sentenza di condanna, la confisca del prezzo o del profitto del reato, salvo che per la parte che può essere restituita al danneggiato. Sono fatti salvi i diritti acquisiti dai terzi in buona fede. 2. Quando non è possibile eseguire la confisca a norma del comma 1, la stessa può avere ad oggetto somme di denaro, beni o altre utilità di valore equivalente al prezzo o al profitto del reato. 2-bis. Quando la confisca abbia ad oggetto stabilimenti industriali o parti di essi che siano stati dichiarati di interesse strategico nazionale ai sensi dell’articolo 1 del decreto-legge 3 dicembre 2012, n. 207, convertito, con modificazioni, dalla legge 24 dicembre 2012, n. 231, ovvero impianti o infrastrutture necessari ad assicurarne la continuità produttiva, si applica l’articolo 104-bis, commi 1-septies, 1-octies, 1-novies e 1-decies, delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271.
Prescrizione
1. Le sanzioni amministrative si prescrivono nel termine di cinque anni dalla data di consumazione del reato. 2. Interrompono la prescrizione la richiesta di applicazione di misure cautelari interdittive e la contestazione dell’illecito amministrativo a norma dell’articolo 59. 3. Per effetto della interruzione inizia un nuovo periodo di prescrizione. 4. Se l’interruzione è avvenuta mediante la contestazione dell’illecito amministrativo dipendente da reato, la prescrizione non corre fino al momento in cui passa in giudicato la sentenza che definisce il giudizio.
Inosservanza delle sanzioni interdittive
1. Chiunque, nello svolgimento dell’attività dell’ente a cui è stata applicata una sanzione o una misura cautelare interdittiva trasgredisce agli obblighi o ai divieti inerenti a tali sanzioni o misure, è punito con la reclusione da sei mesi a tre anni. 2. Nel caso di cui al comma 1, nei confronti dell’ente nell’interesse o a vantaggio del quale il reato è stato commesso, si applica la sanzione amministrativa pecuniaria da duecento e seicento quote e la confisca del profitto, a norma dell’articolo 19. 3. Se dal reato di cui al comma 1, l’ente ha tratto un profitto rilevante, si applicano le sanzioni interdittive, anche diverse da quelle in precedenza irrogate.
Indebita percezione di erogazioni, truffa in danno dello Stato, di un ente pubblico o dell’Unione europea o per il conseguimento di erogazioni pubbliche, frode informatica in danno dello Stato o di un ente pubblico e frode nelle pubbliche forniture
1. In relazione alla commissione dei delitti di cui agli articoli 316-bis, 316-ter, 353, 353-bis,356, 640, comma 2, n. 1, 640-bis e 640-ter se commesso in danno dello Stato o di altro ente pubblico o dell’Unione europea, del codice penale, si applica all’ente la sanzione pecuniaria fino a cinquecento quote. 2. Se, in seguito alla commissione dei delitti di cui al comma 1, l’ente ha conseguito un profitto di rilevante entità o è derivato un danno di particolare gravità; si applica la sanzione pecuniaria da duecento a seicento quote. 2-bis. Si applicano all’ente le sanzioni previste ai commi precedenti in relazione alla commissione del delitto di cui all’articolo 2 della legge 23 dicembre 1986, n. 898. 3. Nei casi previsti dai commi precedenti, si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).
Delitti informatici e trattamento illecito di dati
1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote. 2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all’ente la sanzione pecuniaria sino a trecento quote. 3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, e dei delitti di cui all’articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105, si applica all’ente la sanzione pecuniaria sino a quattrocento quote. 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).
Delitti contro la personalità individuale
1. In relazione alla commissione dei delitti previsti dalla sezione I del capo III del titolo XII del libro II del codice penale si applicano all’ente le seguenti sanzioni pecuniarie: a) per i delitti di cui agli articoli 600, 601, 602 e 603-bis, la sanzione pecuniaria da quattrocento a mille quote; b) per i delitti di cui agli articoli 600-bis, primo comma, 600-ter, primo e secondo comma, anche se relativi al materiale pornografico di cui all’articolo 600-quater.1, e 600-quinquies, la sanzione pecuniaria da trecento a ottocento quote; c) per i delitti di cui agli articoli 600-bis, secondo comma, 600-ter, terzo e quarto comma, e 600-quater, anche se relativi al materiale pornografico di cui all’articolo 600-quater.1, nonché per il delitto di cui all’articolo 609-undecies la sanzione pecuniaria da duecento a settecento quote. 2. Nei casi di condanna per uno dei delitti indicati nel comma 1, lettere a) e b), si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, per una durata non inferiore ad un anno. 3. Se l’ente o una sua unità organizzativa viene stabilmente utilizzato allo scopo unico o prevalente di consentire o agevolare la commissione dei reati indicati nel comma 1, si applica la sanzione dell’interdizione definitiva dall’esercizio dell’attività ai sensi dell’articolo 16, comma 3.
La giurisprudenza riguardante la responsabilità degli enti secondo il D.lgs. 231/2001 affronta diversi aspetti:
Per tutelarsi dalla responsabilità ex 231 derivante da reati informatici, le aziende possono adottare diverse misure preventive e di gestione del rischio:
Politiche di sicurezza informatica: Implementare politiche e procedure chiare e robuste per proteggere i sistemi informatici e i dati aziendali da accessi non autorizzati, danneggiamenti o furti.
Formazione dei dipendenti: Fornire formazione regolare ai dipendenti sull’importanza della sicurezza informatica e sulle pratiche sicure per l’uso dei sistemi informatici aziendali.
Accesso e controllo degli account: Limitare l’accesso ai sistemi informatici solo ai dipendenti autorizzati e adottare misure di controllo degli account per monitorare e gestire i privilegi di accesso.
Monitoraggio delle attività: Implementare sistemi di monitoraggio delle attività informatiche per rilevare comportamenti sospetti o violazioni delle politiche aziendali.
Gestione degli incidenti: Sviluppare piani di risposta agli incidenti informatici per affrontare tempestivamente le violazioni della sicurezza e mitigare i danni potenziali.
Conformità normativa: Assicurarsi che l’azienda sia conforme alle leggi e ai regolamenti relativi alla sicurezza informatica e alla protezione dei dati.
Assicurazioni: Valutare la possibilità di ottenere polizze assicurative specifiche per la cyber sicurezza per proteggere l’azienda dalle conseguenze finanziarie degli attacchi informatici.
Revisione e aggiornamento: Periodicamente rivedere e aggiornare le politiche, le procedure e le misure di sicurezza informatica per adattarsi alle nuove minacce e alle evoluzioni normative.
La consulenza legale per le aziende in materia di reati informatici si concentra sulla protezione dei loro interessi sia come vittime che come autrici di tali crimini, con l’obiettivo di evitare responsabilità ai sensi della legge 231 italiana.
Dalla parte della vittima:
Dalla parte dell’azienda quale potenziale responsabile ai sensi della legge 231:
Questi corsi sul reato informatico in azienda sono un perfetto bilanciamento tra aspetti giuridici e tecnici, assicurando una preparazione completa. I partecipanti acquisiranno non solo una conoscenza normativa aggiornata, ma anche competenze pratiche per riconoscere e gestire minacce informatiche.
La formazione offerta dall’avvocato Paolo Galdieri è quindi un investimento essenziale: aumenta la consapevolezza dei rischi digitali, rinforza le difese aziendali e assicura conformità normativa, essenziale in un panorama legislativo in rapida evoluzione. Partecipare ai nostri corsi significa proteggere la propria azienda nel mondo digitale.
Avvocato penalista, Paolo Galdieri è esperto nella gestione di controversie in materia di Reato informatico in azienda.
Scopri di più su: Avv. Paolo Galdieri
Come possiamo esserti di aiuto?
Il commento di: Avv. Paolo Galdieri
In passato, il reato informatico non rappresentava una minaccia significativa per le aziende principalmente per tre ragioni: l’accesso limitato ai computer, il valore marginale delle informazioni memorizzate e la scarsa consapevolezza del fenomeno. Tuttavia, negli ultimi anni, la situazione è cambiata radicalmente. La diffusione dei computer in ogni azienda, la centralizzazione delle informazioni digitali e i cambiamenti normativi, come il Decreto Legislativo 231 del 2001, hanno aumentato il rischio di reati informatici.
Le aziende possono ora essere chiamate a rispondere legalmente per una vasta gamma di reati informatici commessi dai loro dipendenti. Pertanto, è fondamentale adottare strategie preventive, come la formazione interna, la redazione di codici di comportamento informatico, l’assegnazione di incarichi a persone competenti, e l’implementazione di modelli organizzativi idonei a prevenire tali reati e a escludere la responsabilità aziendale.
Questi modelli organizzativi devono identificare le attività a rischio, fornire protocolli di formazione e attuazione, gestire le risorse finanziarie, stabilire obblighi di informazione, implementare un sistema disciplinare e prevedere la verifica e l’aggiornamento periodico.