La legge 28 giugno 2024 n. 90 recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, entrata in vigore lo scorso 17 luglio, inserisce nel codice penale il nuovo reato di estorsione informatica.
L’esecutivo ha ritenuto di introdurre questa nuova fattispecie a seguito dell’intensificarsi di tali fattispecie di reato e, soprattutto, la specifica gravità e la frequenza dei ricatti realizzati attraverso la minaccia o l’attuazione di attacchi informatici.
La Novella ha inserito il comma 3 all’art 629 c.p., che punisce la fattispecie di estorsione:
“Chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità”.
Insomma, si sanziona in questo modo l’estorsione commessa attraverso i reati (anche se solamente minacciati) di:
- accesso abusivo a sistema informatico o telematico;
- danneggiamento di informazioni, dati e programmi informatici;
- danneggiamento di sistemi informatici o telematici;
- danneggiamento di sistemi informatici o telematici di pubblica utilità;
- intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;
- falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche.
L’ipotesi aggravata ricorre se:
- la violenza o minaccia è commessa con armi o da persona travisata, o da più persone riunite;
- la violenza o minaccia è posta in essere da persona che fa parte di un’associazione per delinquere di tipo mafioso;
- il fatto sia commesso nei confronti di persona incapace per età o per infermità;
- la violenza consiste nel porre taluno in stato di incapacità di volere o di agire.
Esistono anche delle circostanze attenuanti, previste all’art. 639-ter c.p.:
- la pena è diminuita fino ad un terzo quando, per la natura, la specie, i mezzi, le modalità o le circostanze dell’azione ovvero per la particolare tenuità del danno o del pericolo, il fatto risulti di lieve entità;
- la pena è diminuita dalla metà a due terzi per chi si adopera per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l’autorità di polizia o l’autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi del delitto o degli strumenti utilizzati per la commissione dello stesso.
A seguito dell’entrata in vigore della legge cybersicurezza costituirà reato-presupposto soltanto l’estorsione qualificata da una particolare modalità di condotta, quella integrante le fattispecie di reato informatico sopra menzionate.
La legge vuole intervenire in maniera decisa sulla c.d. cyber extortion, che si propone di bloccare o limitare le funzioni di un dispositivo finché non si paga un riscatto.
Si può trattare, per esempio, di divulgazione di informazioni sensibili dei dipendenti di un’azienda o dei suoi clienti ovvero di dati confidenziali che, se divulgati, potrebbero danneggiare la reputazione di un soggetto o di un’azienda.
Il nuovo reato di estorsione informatica viene inserito, dunque, all’art 24-bis d.lgs. 231/2001, e potrebbe condurre all’affermazione di responsabilità dell’ente a vantaggio del quale viene commessa, oltre all’applicazione della sanzione pecuniaria da 300 a 800 quote e delle sanzioni interdittive previste dall’articolo 9, comma 2, per una durata non inferiore a due anni.
Generalmente se pensiamo all’estorsione informatica pensiamo all’azienda in qualità di vittima; tuttavia, è molto più probabile che sussista una finalità di vantaggio concorrente dell’ente, ad esempio, quando la condotta ha lo scopo accedere abusivamente al sistema informatico di un concorrente.
Il risk assessment del nuovo reato dovrà essere legato alla mappatura svolta con riguardo ai reati informatici che possono integrarne la condotta materiale: insomma, si tratta di uno sviluppo concreto di una fattispecie riconducibile ai reati informatici.
*Grazie a Maurizio Arena e al suo sito http://www.reatisocietari.it/ per lo spunto