Il 15 maggio la Camera dei Deputati ha dato il via libera al disegno di legge (anche “DDL Cybersicurezza”) che rafforza la cybersicurezza nazionale e contrasta i reati informatici.
Il testo, composto da 24 articoli, introduce diverse modifiche, tra cui:
- Obblighi di notifica per incidenti informatici. Tutti i soggetti pubblici e privati inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), infatti, sono tenuti a notificare qualsiasi incidente che impatti su reti, sistemi informativi e servizi informatici, ossia eventi che possono compromettere la funzionalità, la sicurezza o la disponibilità di questi componenti tecnologici fondamentali per un’organizzazione.
- Rafforzamento della crittografia come strumenti di difesa cibernetica. Con l’articolo 10 viene istituito il Centro Nazionale di Crittografia presso l’Agenzia per la Cybersicurezza Nazionale (ACN), il quale sarà responsabile dello sviluppo di standard e linee guida crittografiche. Il centro avrà anche il compito di valutare la sicurezza dei sistemi crittografici utilizzati e promuovere l’adozione della crittografia attraverso attività di sensibilizzazione e formazione.
- Aumento significativo delle pene per reati come l’accesso abusivo a un sistema informatico (da 2 a 10 anni di reclusione se commesso da un pubblico ufficiale) e il danneggiamento di dati informatici (da 2 a 6 anni nella forma semplice, da 3 a 8 anni nella forma aggravata).
- Introduzione di un terzo comma all’articolo 629 del codice penale (estorsione), richiamato anche nell’articolo 24-bis del d.lgs. 231/2001 sulla responsabilità degli enti.
- Nuova fattispecie di estorsione informatica: chi costringe altri a fare o omettere qualcosa con mezzi informatici (art. 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater, 635-quinquies c.p.) o minacciando di farlo, è punito con la reclusione da 6 a 12 anni e la multa da 5.000 a 10.000 euro. La pena è aumentata da 8 a 22 anni se ricorrono talune circostanze o se il fatto è commesso contro un incapace.
Inoltre, si rafforzano le funzioni dell’Agenzia per la cybersicurezza nazionale (ACN) e il suo coordinamento con l’Autorità giudiziaria in caso di attacchi informatici, con specifiche procedure volte a rendere più immediato l’intervento dell’Agenzia a fini di prevenzione degli attacchi e delle loro conseguenze e del ripristino rapido delle funzionalità dei sistemi informatici.
Vediamo, ora, le novità rilevanti in ambito penalistico e in termini di responsabilità degli enti ex d.lgs. 231/01.
1. Le modifiche ai reati informatici.
Al fine di migliorare la prevenzione e il contrasto dei reati informatici a livello nazionale, l’articolo 15 apporta alcune modifiche al Codice penale, tra cui l’introduzione di nuove aggravanti e l’aumento delle pene per l’accesso abusivo a sistemi informatici.
Si fa presente che il comma 1, lett. b), modifica l’art. 615-ter c.p. (Accesso abusivo a un sistema informatico o telematico). Per quest’ultimo, le modifiche introdotte sono volte ad ampliare l’ambito di applicazione della fattispecie e a inasprire il trattamento sanzionatorio elevando le pene previste.
Il comma 1, lett. c), modifica l’art. 615-quater c.p. (Detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici o telematici). La disposizione in commento modifica, in primo luogo, la definizione della fattispecie delittuosa, ampliando il dolo specifico previsto per la configurabilità della fattispecie operando la sostituzione della nozione di “profitto” prevista dal testo vigente con quella, più ampia, di “vantaggio” (n. 1). Inoltre, vengono ridefinite le aggravanti.
Il comma 1, lett. e), interviene sull’art. 617-bis c.p. (Detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche e telefoniche). La disposizione in commento dopo il primo comma dell’art. 617-bis inserisce un ulteriore comma volto a prevedere una circostanza aggravante, qualora ricorra taluna delle circostanze di cui all’art. 615-ter, secondo comma, n. 1, vale a dire la commissione del fatto da parte di un pubblico ufficiale o incaricato di pubblico servizio con abuso dei poteri o con violazione dei doveri, da un investigatore privato anche abusivo, o con abuso della qualità di operatore di sistema.
Rispetto all’art. 617-quater c.p. (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche), ed all’art. 617-sexies c.p. (Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche), la proposta di legge prevede alcune modifiche in materia di circostanze aggravanti.
Interessante è anche la previsione di un comma all’art. 629 c.p. (Estorsione), relativo alla fattispecie del delitto di estorsione mediante reati informatici, realizzata dalla costrizione di taluno a fare o ad omettere qualche cosa, procurando a sé o ad altro un ingiusto profitto, mediante le condotte, o la minaccia di compierle, di cui ai seguenti reati: artt. 615ter (Accesso abusivo ad un sistema informatico o telematico), 617quater (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche), 617-sexies (Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche), 635-bis (Danneggiamento di informazioni, dati e programmi informatici), 635-quater (Danneggiamento di sistemi informatici o telematici) e 635-quinquies (Danneggiamento di sistemi informatici o telematici di pubblica utilità).
Il comma 1, lett. q), introduce nel codice penale l’art. 635-quater.1 (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico). Il primo comma del nuovo articolo riproduce il vigente art. 615quinquies c.p.10 (che viene contestualmente abrogato dalla lett. d). Il secondo e il terzo comma prevedono quali circostanze aggravanti:
- la commissione del fatto da parte di un pubblico ufficiale o incaricato di pubblico servizio con abuso dei poteri o con violazione dei doveri, da un investigatore privato anche abusivo, o con abuso della qualità di operatore di sistema;
- la commissione del fatto su sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico.
2. DDL Cybersicurezza e D.lgs. 231/2001: interazioni tra le novità.
L’articolo 19 interviene sul catalogo dei reati presupposto della responsabilità amministrativa degli enti, contemplato dall’articolo 24-bis del decreto legislativo n. 231 del 2001.
L’articolo 24-bis, introdotto nell’ordinamento dalla legge n. 48 del 2008 di ratifica della Convenzione di Budapest sulla cybercriminalità, nella sua formulazione vigente, prevede una serie di sanzioni per gli enti, in caso di commissione di reati informatici da una persona fisica esercitante poteri direttivi nel loro ambito.
Il disegno di legge in esame:
- aumenta le sanzioni previste al comma 1 (che passano da un arco edittale compreso tra cento e cinquecento quote, ad un arco compreso tra duecento e settecento quote),
- introduce nell’articolo 24-bis il nuovo comma 1-bis, ai sensi del quale si applica all’ente la sanzione pecuniaria da trecento a ottocento quote in relazione alla commissione della nuova fattispecie di estorsione informatica di cui all’articolo 629, terzo comma, del codice penale (si veda la lett. l) del comma 1 dell’art. 15 del presente ddl). Nei casi di condanna è prevista anche l’applicazione delle sanzioni interdittive previste dall’articolo 9, comma 2 del medesimo decreto legislativo 8 giugno 2001, n. 231, per una durata non inferiore a due anni;
- modifica il comma 2 dell’articolo 24-bis, elevando la sanzione pecuniaria ivi prevista sino a quattrocento quote (attualmente è “fino a trecento quote”) e sostituendo tra i reati presupposti per i quali è prevista l’applicazione all’ente della sanzione pecuniaria suddetta il riferimento all’articolo 615-quinquies c.p. (abrogato dall’articolo 15, lettera c) del presente ddl) con il richiamo al nuovo delitto di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico di cui all’articolo 635-quater.1.
Avv. Adamo Brunetti