Il Consiglio dei Ministri, in data 25 gennaio 2024, è giunto all’approvazione del DDL Cybersicurezza, il quale, dal 13 marzo è in studio alle Commissioni riunite Affari Costituzionali e Giustizia della Camera.
Il fine principe di tale disegno di legge è dare maggior vigore alla disciplina in tema di cybersicurezza mediante interventi quali la previsione di sanzioni connotate da maggiore severità per i reati informatici; il rafforzamento delle funzioni dell’Agenzia per la Cybersicurezza Nazionale (ACN) prevedendo il suo coordinamento con l’Autorità giudiziaria in caso di attacchi informatici; e la prevenzione degli attacchi informatici nell’ambito delle piccole e medie imprese, con previsioni specifiche rivolte anche alle pubbliche amministrazioni.
Obiettivi di tal sorta sono stati fissati nel tentativo di contrastare i sempre più dilaganti attacchi di criminalità informatica, tema al centro dell’attenzione comunitaria sin dagli anni ’90, quando si è assistito ad un progressivo ampliamento della disciplina nazionale e comunitaria in materia.
Le novità del DDL Cybersicurezza comportano un impatto non marginale anche nell’ambito della responsabilità amministrativa degli enti, prevedendo modifiche sui reati presupposto disciplinati dal decreto 231/2001, ampliandone l’elenco e inasprendo, in taluni casi, le sanzioni.
In particolare, si segnala che l’art. 11 del DDL prevede una serie di modificazioni inerenti:
-
L’art. 615ter, con l’aggiunta della condotta della minaccia oltre quella dell’uso;
-
L’art. 615quater, con la sostituzione del requisito finalistico del vantaggio con quello del profitto;
-
L’art. 615quinquies, con la sua abrogazione e la contestuale entrata in vigore dell’art. 635quater.1 c.p., che replica pedissequamente l’abrogato art. 615quinquies c.p., il quale, però, troverà adesso collocazione nell’ambito dei delitti contro il patrimonio mediante violenza alle cose o persone, con l’aggiunta di due nuovi commi che prevedono il riconoscimento di aggravanti nel caso in cui ricorra una delle circostanze di cui all’art. 615ter, secondo comma, n.1 c.p. o quando i fatti riguardano sistemi informatici o telematici di cui all’art. 615ter, comma terzo, c.p.;
-
L’art. 617quater, con l’estensione dei sistemi informatici e/o telematici rilevanti e l’aggiunta tra i soggetti attivi di coloro che esercitano, anche abusivamente, la professione di investigatore privato;
-
L’art. 625ter, con la ridefinizione del rilievo pubblico dei dati e programmi informatici e la modifica della propria rubrica;
-
L’art. 635quinquies, con la modificazione delle condotte operata tramite rinvio a quelle “di cui all’art. 635bis c.p. o attraverso l’introduzione o trasmissione di dati, informazioni o programmi”.
Disposizioni, queste, che fanno parte dei reati presupposto, annoverati dall’art. 24bis del D. Lgs. 231/2001 in tema di “Delitti informatici e trattamento illecito di dati”.
Le modifiche apportate, nel loro complesso, si basano sull’innalzamento della cornice edittale delle pene previste per le persone fisiche autrici dei reati, sull’inserimento di circostanze aggravanti e sul divieto di riconoscimento di attenuanti, non apportando cambiamenti di rilievo sotto il profilo degli oneri organizzativi e procedurali delle società e degli enti.
È stato previsto, inoltre, l’obbligo di comunicazione degli incidenti all’ACN, la quale avvierà il monitoraggio e le ispezioni dovute e, in caso di omesse segnalazioni, procederà all’irrogazione di sanzioni pecuniarie, comminate anche per quegli enti che non adotteranno, nell’arco di quindici giorni, le soluzioni proposte dall’Agenzia a seguito di eventuali segnalazioni di vulnerabilità.
L’ampliamento che la novella apporta alla disciplina della cybersecurity non fa che rafforzare la connessione tra la disciplina del D. Lgs. 231/2001 e la normativa in materia di protezione dei dati personali (GDPR), potenziando le misure preventive e di contrasto, imponendo una rivalutazione anche dei profili di rischio di commissione di reati presupposto di cui al decreto 231 e di violazioni di dati personali, focalizzando l’attenzione sull’adozione di un sistema di compliance integrata che preveda misure di sicurezza e norme di comportamento coerenti e integrate tra loro.
Il ché potrebbe portare ad una possibile sovrapposizione tra l’ambito operativo dell’Organismo di Vigilanza (OdV), che vigila sulle misure volte ad evitare la verificazione di condotte riconducibili ai reati presupposto, e quello del Data Protection Officer (DPO), il quale vigila sulle procedure di gestione dei dati, assistendo l’ente nella valutazione delle potenziali fonti di rischio.
Menzione speciale merita, ancora, l’introduzione, con il DDL, di una nuova fattispecie prevista dal nuovo comma terzo dell’art. 629 c.p. che disciplina l’estorsione mediante reato informatico prevedendo la pena della reclusione e della multa per chiunque, mediante le condotte di cui agli artt. 615ter, 617quater, 617sexies, 635bis, 635quater e 635quinquies c.p. o con la minaccia di compierle, costringa taluno a fare o omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno.
Disposizione, quest’ultima, richiamata dalla lett. b) dell’art. 15 del DDL dedicato alle modifiche al decreto legislativo 231, che prevede l’inserimento di un nuovo comma 1bis all’art. 24bis del decreto con particolare riferimento al nuovo delitto di cui all’art. 629, comma 3, c.p., unica novità di particolare rilievo ai fini della prevenzione della responsabilità amministrativa delle persone giuridiche.
Le restanti parti dell’art. 15 del DDL si dedicano, infatti, all’esclusiva previsione di sanzioni pecuniarie più severe e all’aggiunta di sanzioni interdittive.
L’introduzione del nuovo comma del 629 c.p., congiuntamente alle altre minoritarie modificazioni, richiederà, sicuramente, una specifica rivalutazione in tema di efficace attuazione del modello di organizzazione, gestione e controllo attraverso la consueta mappatura del rischio reato, del risk assessment di dettaglio e la definizione di presidi di controllo adeguati alla stregua delle best practices di riferimento.
In conclusione, ci si chiede se e quali adempimenti le imprese saranno tenute a porre in essere nel prossimo futuro.
Non è di semplice intuizione accertare se potranno essere richieste misure organizzative e procedurali ulteriori rispetto a quelle già previste dal MOG per la prevenzione dei reati veicolo richiamati nel testo dell’art. 629 cit., i quali, eccezion fatta per il 617sexies c.p., sono integralmente annoverati tra i reati presupposto.
È ipotizzabile che la fattispecie di cui all’art. 617sexies c.p., che sanziona i casi di falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche, entri nell’elenco dei reati presupposto e che, all’esito delle consuete richieste considerazioni prevenzionistiche, risultino sufficienti i presidi di controllo già adottati nel MOG per la prevenzione degli altri reati veicolo, ferma la necessità di un costante aggiornamento, nella consapevolezza che la mancata attuazione di un MOG adeguato esporrà l’ente al rischio di sanzioni particolarmente gravose con riferimento ad una classe di reati, come quella in oggetto, che non può essere definita a basso rischio di commissione, data la rapida opera di digitalizzazione che sta interessando tutti gli enti, sia pubblici che privati.
Le citate attività dovranno sempre essere poste sotto la vigilanza dell’OdV, nell’adempimento del suo compito di curare l’aggiornamento del MOG ai sensi dell’art. 6 del decreto 231, tramite le proprie funzioni di impulso e di vigilanza.
Ciò detto, benché le modifiche adeguatrici del decreto 231 non dovrebbero comportare stravolgimenti di difficile attuazione, il ruolo di rilievo acquisito dalla materia della prevenzione del cybercrime deve senza dubbio condurre le imprese a porre livelli di attenzioni maggiori sulla prevenzione dei reati presupposto di tipo informatico, sfruttando questi primi e rilevanti ragguagli forniti dal Governo per poter valutare l’attuazione di un supplemento di verifica circa i propri strumenti di tutela dal rischio di infiltrazioni criminali a livello informatico con riguardo particolare alla catena di approvvigionamento aziendale, valutata come principale fonte di intrusione. Ciò soprattutto in ragione del problema, che spesso si pone, di identificazione del colpevole persona fisica, che potrà portare, nella maggior parte dei casi, a chiamare in causa l’ente in luogo dell’autore del reato, ai sensi e per gli effetti dell’art. 8 del D. Lgs. 231/2001.
