Post di Andrea Puccio, avvocato, fondatore dello studio Puccio Penalisti Associati –

Lo scorso 19 giugno 2024, è stato approvato al Senato, in via definitiva, iI Disegno di legge di iniziativa governativa in materia di cyber sicurezza e reati informatici (c.d. DDL Cybersicurezza), che introduce nuove misure per il rafforzamento della resilienza delle infrastrutture informatiche delle Pubbliche Amministrazioni e degli istituti finanziari, interviene sulle fattispecie dei reati informatici e sul trattamento sanzionatorio ad essi riservato dal Codice Penale – con riflessi anche sul fronte della responsabilità amministrativa degli enti ex D. Lgs. 231/01 – e prevede alcune modiche al Codice di Procedura Penale, nel tentativo di agevolare la persecuzione dei cybercrime.

Il testo definitivo, in particolare, mantiene la struttura del Disegno di legge originariamente sulla Cybersicurezza approvato dalla Camera dei Deputati, suddivisa in due capi: nel primo vengono individuate le norme necessarie per sviluppare la capacità nazionale di prevenzione, monitoraggio, rilevamento, analisi degli incidenti di sicurezza informatica e degli attacchi cyber, nonché di risposta agli stessi; il secondo, invece, è dedicato ad una revisione del trattamento sanzionatorio dei reati informatici, alle modifiche di carattere processuale e a quelle in tema di responsabilità amministrativa degli enti.

L’inasprimento delle sanzioni…

Con particolare riguardo agli interventi sul Codice Penale, l’art. 16 del testo approvato stabilisce l’introduzione di nuove fattispecie di reati informatici, l’estensione dell’ambito applicativo di alcune già esistenti, nonché un generale inasprimento del trattamento sanzionatorio in materia, ottenuto sia attraverso un aumento delle cornici edittali, che mediante la previsione di nuove circostanze aggravanti.

Un esempio in tal senso è rappresentato dalle modifiche apportate ad una delle principali fattispecie di delitto informatico, quella di “accesso abusivo ad un sistema informatico o telematico”, prevista dall’art. 615 ter c.p.: la nuova normativa, infatti, incide sul reato in parola, soprattutto attraverso l’innalzamento delle cornici edittali comminate per le aggravanti di cui ai commi 2 e 3.

Di interesse è, inoltre, la nuova fattispecie aggiunta al comma 3 dell’art. 629 c.p., in tema di estorsione commessa mediante la perpetrazione o la minaccia di perpetrazione di alcune specifiche fattispecie di reati informatici: si tratta, evidentemente, di una misura volta a contrastare il sempre più crescente fenomeno dei ransomware, e, in generale, degli attacchi hacker perpetratati ai danni di imprese private e Pubbliche Amministrazioni – spesso, peraltro, operanti in settori particolarmente sensibili – al fine di ottenere dalle vittime il pagamento di ingenti riscatti.

… E le nuove circostanze attenuanti

Sotto un diverso profilo, tra le innovazioni apportate dal DDL Cybersicurezza, meritevole di attenzione è anche la previsione di nuove circostanze attenuanti, introdotte dai nuovi artt. 623 quater c.p. e 639 ter c.p., che consentono una riduzione del trattamento sanzionatorio al ricorrere, alternativamente, di fatti di lieve entità, nonché nei casi in cui l’autore del fatto si adoperi per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, collaborando concretamente con le Autorità.

Similmente all’art. 323-bis c.p. in tema di reati contro la Pubblica Amministrazione, le circostanze in parola mirano a sollecitare atteggiamenti collaborativi post factum da parte dell’autore del reato, incentivando un suo contributo attivo alle investigazioni.

Con riferimento, invece, alle modifiche apportate al Codice di Procedura Penale, si menziona l’inserimento, ad opera dell’art. 17, dei delitti informatici tra quelli per cui il limite massimo di durata delle indagini preliminari è innalzato a 2 anni.

La cybersicurezza e la responsabilità amministrativa degli enti

Come anticipato, la novella ha inciso, inoltre, sul fronte della disciplina della responsabilità amministrativa degli enti ex D. Lgs. 231/01, sotto un duplice profilo.

In primo luogo, infatti, gli interventi normativi operati sui reati informatici sono destinati a riflettersi anche in tale ambito, atteso che molte delle fattispecie incriminatrici modificate sono incluse tra i reati presupposto della responsabilità amministrativa degli enti.

Sotto un secondo profilo, l’art. 20 ha apportato delle modifiche all’art. 24 bis D. Lgs. 231/01, prevedendo, in linea con la ratio della riforma, un generale innalzamento della cornice edittale delle sanzioni pecuniarie inflitte all’ente in relazione alla commissione, nel suo interesse o a suo vantaggio, di uno dei reati informatici ivi contemplati.

La nuova fattispecie di estorsione mediante reati informatici 

Sempre all’interno del predetto art. 24 bis, è stata, poi, inserita la neo introdotta fattispecie di estorsione mediante reati informatici di cui all’art. 629, comma 3, c.p., peraltro con possibilità di applicazione – in caso di emissione di sentenza di condanna a carico dell’ente per il relativo illecito amministrativo – delle sanzioni interdittive previste dall’art. 9, comma 2, D. Lgs. 231/01, per una durata non inferiore ai due anni.

Soluzioni per un fenomeno ormai dilagante

In definitiva, il DDL Cybersicurezza si presenta come una normativa di ampia portata, che, attraverso un’implementazione delle misure preventive e di contrasto degli attacchi cyber, nonché un rafforzamento degli strumenti di repressione dei reati informatici, mira ad individuare soluzioni ad un fenomeno ormai dilagante, a livello sia nazionale che globale, e in costante evoluzione.

Non si dimentichi, sul punto, che il Rapporto Clusit del 2024 ha di recente evidenziato un crescente aumento degli attacchi informatici in Italia, con particolare riferimento proprio al settore della Pubblica Amministrazione e a quello sanitario.

Solo il tempo ci potrà dire se, nel passaggio dalla lettera della legge all’applicazione pratica, le misure introdotte si riveleranno idonee a garantire un più efficace contrasto all’allarmante fenomeno dei cybercrime.