Reati informatici: prevenzione e contrasto
Chiara D'Errico
Cybersecurity & Data Protection - Governance, Risk & Compliance | Abilitata all’esercizio della professione forense
In Italia, la legislazione italiana in materia di cybersecurity e diritto penale ha recentemente subito una trasformazione significativa con l'approvazione definitiva da parte del Senato del disegno di legge Cyber, ora diventato legge (L. 28 giugno 2024, n. 90 recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, pubblicata nella G.U. il 2 luglio 2024, con entrata in vigore il 17 luglio 2024).
Il Capo II della Legge recante le “Disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari”, racchiude gli articoli dal 16 al 24.
Tali disposizioni apportano modifiche tanto al Codice Penale, quanto al Codice di Procedura Penale e al D.lgs. 231/2001, al fine di modernizzare e rafforzare le norme esistenti per contrastare efficacemente i crimini informatici sotto due punti di vista:
con l’obiettivo che una maggiore severità nel tessuto legislativo penale possa fungere da deterrente per i cybercriminali.
Modifiche al Codice Penale
Le novità rilevanti apportate al Codice Penale riguardano:
All’art. 629, comma 3 c.p. viene introdotta una nuova fattispecie di reato, la c.d. “estorsione informatica”. Questa nuova fattispecie punisce l'estorsione attraverso reati informatici o la minaccia di commetterli. Chiunque, accedendo abusivamente a un sistema informatico o telematico, costringa qualcuno a fare o omettere qualcosa per procurarsi un ingiusto profitto con danno altrui è punito con la reclusione da sei a dodici anni e una multa da 5.000 a 10.000 euro. Se la vittima è una persona incapace per età o infermità, la pena può arrivare fino a ventidue anni.
In generale, la legge prevede una stretta sul regime sanzionatorio per la quasi totalità dei reati informatici. Si menziona sul punto, l’accesso abusivo ad un sistema informatico o telematico, disciplinato dall’art. 615-ter c.p., per cui la pena viene aumentata da uno a cinque anni a due a dieci anni e con la multa da euro 5.000 ad euro 10.000, quando chi lo ha commesso è, ad esempio, un operatore di sistema; secondo un’interpretazione analogica, accreditata anche dalla dottrina e dalla giurisprudenza, l’operatore di sistema, tecnicamente, è da riferire al c.d. “amministratore di sistema” in quanto soggetto dotato di privilegi all’interno del sistema. Inoltre, sono state introdotte aggravanti per l'uso di minacce e per la sottrazione o trasmissione dei dati.
Tra le circostanze aggravanti si menziona, il reato di danneggiamento di informazioni, dati e programmi, previsto all’art. 635-bis c.p., nel caso di danneggiamento di sistemi di interesse pubblico.
Gli articoli 623-quater e 639-ter c.p. introducono circostanze attenuanti quando il danno o il pericolo è di lieve entità, o quando l'autore del reato collabora con le autorità per evitare ulteriori conseguenze delittuose.
Modifiche al Codice di Procedura Penale
Le novità rilevanti apportate al Codice di Procedura Penale riguardano:
Le indagini preliminari sui reati informatici sono ora di competenza della Procura distrettuale Antimafia, consentendo un approccio più incisivo e coordinato per il contrasto di questi reati. Questo significa che le indagini sui reati informatici possono beneficiare delle stesse risorse e competenze dedicate alla lotta contro la criminalità organizzata.
Il regime per la proroga dei termini delle indagini preliminari è stato semplificato. Il giudice, secondo quanto previsto dall’art. 406, comma 5-bis c.p.p., provvede entro dieci giorni dalla richiesta, applicando una deroga al regime ordinario. Inoltre, il termine massimo delle indagini preliminari è stato esteso a due anni per specifici reati informatici, quando questi riguardano sistemi di interesse militare, sicurezza pubblica, sanità, protezione civile, o comunque di interesse pubblico.
Consigliati da LinkedIn
La legge estende le condizioni per le intercettazioni ai reati informatici. L'autorizzazione per le intercettazioni può essere concessa sulla base di "sufficienti indizi" di reato e quando l'intercettazione è "necessaria per lo svolgimento delle indagini", semplificando le procedure così come previsto per i reati di criminalità organizzata.
Modifiche al D. Lgs. n. 231/2001
L'articolo 20 della Legge interviene anche sul D. Lgs. n. 231/2001, riguardante la responsabilità amministrativa da reato degli Enti. Sul punto si ricorda che i reati informatici hanno fatto ingresso nella disciplina nel 2008, a seguito della Convenzione di Budapest del Consiglio d’Europea sul Cybercrime. La responsabilità degli enti, in caso di violazioni, ha natura penale e deriva da reati commessi da soggetti apicali o sottoposti alla direzione di questi ultimi, nell'interesse o a vantaggio dell'ente.
I punti salienti si declinano in:
Le sanzioni pecuniarie, di pari passo con le modifiche al Codice Penale, per gli enti coinvolti in reati informatici, rientranti nel catalogo previsto dal Decreto Legislativo, sono state aumentate. Per esempio, per l'accesso abusivo a un sistema informatico, le sanzioni possono variare tra duecento e settecento quote (in precedenza la sanzione variava tra cento e cinquecento quote).
È stata introdotta la disciplina sanzionatoria per la nuova fattispecie di estorsione informatica. Gli enti ritenuti responsabili di questo reato sono puniti con sanzioni pecuniarie tra trecento e ottocento quote. Inoltre, possono essere applicate sanzioni interdittive per un periodo non inferiore a due anni in caso di condanna.
Coordinamento tra Agenzia per la Cybersicurezza Nazionale (ACN) e Magistratura
Infine, merita un approfondimento anche l’art. 22 della Legge, recante modifiche al Decreto Legge 82/2021, che introduce reciproci obblighi informativi tra l'ACN e l'autorità giudiziaria in caso di delitti di cui all’articolo 371-bis, comma 4-bis c.p.p.
In premessa, si tratta di reati informatici di particolare gravità. Questi includono, tra gli altri, i delitti previsti dagli articoli 617-quater, 617-quinquies e 617-sexies del Codice Penale, che trattano rispettivamente l'intercettazione, l'impedimento o l'interruzione illecita di comunicazioni informatiche o telematiche, e la falsificazione, alterazione o soppressione del contenuto delle comunicazioni informatiche o telematiche.
L'Agenzia è tenuta ad informare, senza ritardo, il Procuratore Nazionale Antimafia e Antiterrorismo della notizia di un attacco ai danni di un sistema informatico o telematico per i reati di cui sopra; e in ogni caso, quando è interessato uno dei soggetti di cui al Decreto Perimetro o al Decreto Legislativo NIS o al Codice delle Comunicazioni Elettroniche.
Analogamente, il Pubblico Ministero deve comunicare prontamente all'ACN qualsiasi notizia relativa ai reati di cui in premessa.
In caso di accertamenti tecnici irripetibili per gli stessi delitti, viene introdotta la facoltà per l'ACN di assistere al conferimento dell'incarico e partecipare agli accertamenti, anche quando si procede nelle forme dell'incidente probatorio.
Conclusioni
La Legge n. 90/2024 rappresenta un passo fondamentale per il rafforzamento della cybersicurezza nazionale. L'introduzione di nuove fattispecie di reato, l'inasprimento delle pene per i reati informatici e le nuove disposizioni procedurali mirano a prevenire e contrastare efficacemente il cybercrime. L'attuazione di queste misure sarà cruciale per valutarne l'efficacia in un contesto in continua evoluzione.
Cosa fare?
Alle aziende è richiesto un approccio proattivo ed integrato che integri sicurezza fisica, logica e organizzativa, realizzando modelli di organizzazione, gestione e controllo e implementando misure tecniche e organizzative adeguati.
Cybersecurity Expert
5 mesiSuper interessante ⚡