La Direttiva NIS2, che ha portato all’emanazione del d.lgs. 138/24 e del d.lgs. 90/24, ha introdotto nuovi importanti obblighi per le imprese, rafforzando la tutela penale per i reati informatici e inasprendo le relative sanzioni.
Tale intervento è stato motivato da due esigenze: contrastare la crescente minaccia di attacchi informatici e tutelare il diritto degli individui alla riservatezza, nonché alla protezione dei propri dati.
Sono tre gli interventi che hanno segnato un cambiamento nella disciplina dei reati informatici, sia in Italia che in Europa: la Direttiva (UE) 2022/2555 (Direttiva NIS2), il Decreto Legislativo 4 settembre 2024, n. 138 e la Legge 28 giugno 2024, n. 90 (“Disposizioni per la prevenzione e il contrasto dei reati informatici, nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari”).
Queste normative hanno la finalità di rafforzare la tutela dei dati sensibili, pur differenziandosi per l’ambito applicativo e per le specifiche misure che introducono.
La Direttiva NIS2, rappresenta lo standard di riferimento per le imprese che mirano ad implementare misure efficaci, per garantire un elevato livello di sicurezza informatica.
Il mancato rispetto degli obblighi stabiliti dalla Direttiva comporta l’applicazione di importanti sanzioni pecuniarie, la cui entità può variare.
Le imprese a cui la Direttiva fa riferimento sono in generale quelle che operano nel settore dell’energia, i fornitori e distributori di acqua potabile, le imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali e le imprese che si occupano della gestione dei rifiuti. Al contrario, sono escluse le piccole e medie imprese, salvo rare eccezioni.
Nei confronti di queste imprese sono previsti degli obblighi finalizzati a garantire che queste si dotino di una struttura tale da affrontare ed arginare degli attacchi informatici: fra i diversi presidi suggeriti si pensi alla adozione di misure organizzative e tecniche per porre in sicurezza i propri sistemi informatici.
Le imprese destinatarie della Direttiva NIS2 debbono monitorare costantemente i propri sistemi e intervenire tempestivamente in caso di attacchi informatici, prevenendo i danni economici, oltre a quelli di reputazionali. Le imprese, inoltre, da quest’anno sono tenute ad iscriversi all’apposita piattaforma predisposta dall’Autorità per la cybersicurezza, canale fondamentale per monitorare costantemente lo stato della sicurezza informatica nelle aziende registrate.
La normativa ha introdotto importanti modifiche al codice penale, al codice di procedura penale ed al d.lgs. 231/2001.
Sono state apportate importanti modifiche al Codice penale: se da un lato la direttiva ha imposto un inasprimento delle pene per i reati informatici già previsti (in alcuni casi raddoppiandole), dall’altro lato ha introdotto nuove figure delittuose. Fra queste si devono citare il delitto di accesso abusivo ad un sistema informatico (art. 615 ter c.p.), il delitto di intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche nella forma aggravata (art. 617 quater, co. 4, c.p.), il delitto di danneggiamento di sistemi informatici o telematici (art. 635 quater c.p.), fino alla fattispecie di “estorsione informatica” (art. 629, co. 3, c.p.).
Inoltre, sono state introdotte nuove circostanze attenuanti, agli artt. 623 quater e 639 ter c.p., per cui è stata prevista una riduzione della pena nel caso in cui il fatto risulti di lieve entità e nell’ipotesi in cui i soggetti responsabili adottino misure per evitare ulteriori conseguenze dannose o decidano di collaborare con le Autorità.
Sono state introdotte anche rilevanti modifiche sul piano processuale, relative alla competenza (distrettuale) per i reati informatici, la durata delle indagini e la possibilità di richiedere una proroga delle stesse.
Infine, la Legge 90/2024 è intervenuta anche sul d.lgs. 231/2001, in particolar modo sull’art. 24 bis, ampliando il catalogo dei reati presupposto, includendo anche la nuova fattispecie di estorsione informatica.
Inoltre, sono state inasprite le sanzioni pecuniarie applicabili all’ente in caso di accertamento della sua responsabilità: in particolare è stata aggiunta la possibilità di comminare sanzioni interdittive di cui all’art. 9, co. 2, del D. Lgs. 231/2001.
Tali interventi normativi sono finalizzati a rafforzare la tutela della cybersicurezza in Europa e nel nostro Paese, ponendosi come un presidio aggiornato alle nuove tecnologie in via di sviluppo.
L’attenzione su questo tema, oggi, dev’essere altissima.
In uno scenario del genere, le imprese debbono muoversi con tempestività e responsabilità, inserendo nella propria strategia aziendale dei sistemi di protezione informatici funzionali e validi, così da poter affrontare efficacemente la trasformazione digitale e garantire la tutela della riservatezza e la sicurezza dei dati aziendali.
E’ essenziale che le imprese adottino un approccio strutturato, integrato e proattivo.
In quest’ottica la conduzione delle attività di risk assessment, dev’essere volta a valutare anche i profili di rischio e le vulnerabilità dei sistemi informatici. Conseguentemente, sarà doveroso procedere all’adozione e alla concreta implementazione di presidi di prevenzione e controllo.
