Approvata nuova legge su cybersicurezza e reati informatici

Lo scorso 19 giugno 2024, è stato approvato al Senato, in via definitiva, iI Disegno di legge di iniziativa governativa in materia di cyber sicurezza e reati informatici (c.d. DDL Cybersicurezza), che introduce nuove misure per il rafforzamento della resilienza delle infrastrutture informatiche delle Pubbliche Amministrazioni e degli istituti finanziari, interviene sulle fattispecie dei reati informatici e sul trattamento sanzionatorio ad essi riservato dal Codice Penale – con riflessi anche sul fronte della responsabilità amministrativa degli enti ex D. Lgs. 231/01 – e prevede alcune modiche al Codice di Procedura Penale, nel tentativo di agevolare la persecuzione dei cybercrime. Il testo definitivo viene suddiviso in due capi: nel primo vengono individuate le norme necessarie per sviluppare la capacità nazionale di prevenzione, monitoraggio, rilevamento, analisi degli incidenti di sicurezza informatica e degli attacchi cyber, nonché di risposta agli stessi; il secondo, invece, è dedicato ad una revisione del trattamento sanzionatorio dei reati informatici, alle modifiche di carattere processuale e a quelle in tema di responsabilità amministrativa degli enti.

Con particolare riguardo agli interventi sul Codice Penale, l’art. 16 del testo approvato stabilisce l’introduzione di nuove fattispecie di reati informatici, l’estensione dell’ambito applicativo di alcune già esistenti, nonché un inasprimento del trattamento sanzionatorio in materia, ottenuto sia attraverso un aumento del perimetro edittale, sia mediante la previsione di nuove circostanze aggravanti. Un esempio in tal senso è rappresentato dalle modifiche apportate ad una delle principali fattispecie di delitto informatico, quella di “accesso abusivo ad un sistema informatico o telematico”, prevista dall’art. 615 ter c.p.: la nuova normativa, infatti, incide sul reato in parola, soprattutto attraverso l’innalzamento delle cornici edittali comminate per le aggravanti di cui ai commi 2 e 3. Di interesse è, inoltre, la nuova fattispecie aggiunta al comma 3 dell’art. 629 c.p., in tema di estorsione commessa mediante la perpetrazione o la minaccia di perpetrazione di alcune specifiche fattispecie di reati informatici: si tratta, evidentemente, di una misura volta a contrastare il sempre più crescente fenomeno dei “ransomware”, e, in generale, degli attacchi hacker perpetratati ai danni di imprese private e Pubbliche Amministrazioni al fine di ottenere dalle vittime il pagamento di ingenti riscatti.

Sotto un diverso profilo, tra le innovazioni apportate dal DDL Cybersicurezza, meritevole di attenzione è anche la previsione di nuove circostanze attenuanti, introdotte dai nuovi artt. 623 quater c.p. e 639 ter c.p., che consentono una riduzione del trattamento sanzionatorio al ricorrere, alternativamente, di fatti di lieve entità, nonché nei casi in cui l’autore del fatto si adoperi per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, collaborando concretamente con le Autorità. Similmente all’art. 323-bis c.p. in tema di reati contro la Pubblica Amministrazione, le circostanze in parola mirano a sollecitare atteggiamenti collaborativi post factum da parte dell’autore del reato, incentivando un suo contributo attivo alle investigazioni. Con riferimento, invece, alle modifiche apportate al Codice di Procedura Penale, si menziona l’inserimento, ad opera dell’art. 17, dei delitti informatici tra quelli per cui il limite massimo di durata delle indagini preliminari è innalzato a 2 anni. Come anticipato, la novella ha inciso, inoltre, sul fronte della disciplina della responsabilità amministrativa degli enti ex D. Lgs. 231/01, sotto un duplice profilo. In primo luogo, infatti, gli interventi normativi operati sui reati informatici sono destinati a riflettersi anche in tale ambito, atteso che molte delle fattispecie incriminatrici modificate sono incluse tra i reati presupposto della responsabilità amministrativa degli enti.

Sotto un secondo profilo, l’art. 20 ha apportato delle modifiche all’art. 24 bis D. Lgs. 231/01, prevedendo, in linea con la ratio della riforma, un generale innalzamento della cornice edittale delle sanzioni pecuniarie inflitte all’ente in relazione alla commissione, nel suo interesse o a suo vantaggio, di uno dei reati informatici ivi contemplati. Sempre all’interno del predetto art. 24 bis, è stata, poi, inserita la nuova fattispecie di reato di “estorsione mediante reati informatici” il cui precetto viene raccolto all’art. 629, comma 3, c.p., peraltro con possibilità di applicazione delle sanzioni interdittive previste dall’art. 9, comma 2, D. Lgs. 231/01, per una durata non inferiore ai due anni. In definitiva, il DDL Cybersicurezza si presenta come una normativa di ampia portata, che, attraverso un’implementazione delle misure preventive e di contrasto degli attacchi cyber, nonché un rafforzamento degli strumenti di repressione dei reati informatici, mira ad individuare soluzioni ad un fenomeno ormai dilagante, a livello sia nazionale che globale, e in costante evoluzione.

avv.mimmolardiello@gmail.com  
www.studiolegalelardiello.it