Approvato il DDL Cybersicurezza

In data 15 maggio la Camera dei Deputati ha approvato il disegno di legge recante “disposizioni in materia di rafforzamento della cybersicurezza nazionale e reati informatici”, ora trasmesso al Senato per la sua lettura.

Di particolare rilevanza è il Capo II che introduce modifiche al Codice Penale, al Codice di Procedura Penale e al Decreto Legislativo n. 231 del 2001 in materia di responsabilità amministrativa degli enti.

In ragione del sempre più frequente utilizzo di sistemi e strumenti informatici, il nuovo testo di legge si pone in un’ottica di inasprimento e rafforzamento del contrasto ai reati informatici, anche nel caso in cui questi vengano realizzati all’interno del contesto aziendale con il conseguente rischio di una responsabilità amministrativa in capo all’ente.

Principali modifiche al Codice Penale:

• È previsto un generale innalzamento del trattamento sanzionatorio dei reati informatici, anche mediane l’inserimento di circostanze aggravanti ad effetto speciale;
• Viene introdotto il nuovo art. 623-quater rubricato “Circostanze attenuanti” il quale prevede (i) al primo comma una diminuzione delle pene comminate per i delitti di cui agli articoli 615-ter, 615-quater, 617-quater, 617-quinquies e 617-sexies “quando, per la natura, la specie, i mezzi, le modalità o le circostanze dell’azione ovvero per la particolare tenuità del danno o del pericolo, il fatto risulti di lieve entità” (ii) al secondo comma una diminuzione e dalla metà a due terzi delle pene previste per i delitti di cui agli articoli 615-ter, 615-quater, 617-quater, 617-quinquies e 617-sexies laddove l’autore del reato si adoperi per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l’autorità di polizia o l’autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi.
• Viene introdotto un nuovo terzo comma al reato di estorsione, il quale punisce “Chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, (…) con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità”
• Vengono sostituiti il secondo e il terzo comma dell’art. 635-ter in materia di “Danneggiamento di informazioni, dati e programmi informatici”, i quali prevedono che “La pena è della reclusione da tre a otto anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al legittimo titolare dei dati o dei programmi informatici. La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3)”
• Viene sostituito il secondo comma dell’art. 635-quater in materia di “Danneggiamento di sistemi informatici o telematici” il quale prevede che “La pena è della reclusione da tre a otto anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato”
• Viene introdotto il nuovo art. 635-quater.1 rubricato “Detenzione, diffusione e istallazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”
• Viene integralmente riscritto l’art. 635-quinquies rubricato “Danneggiamento di sistemi informatici o telematici di pubblico interesse”
• Viene introdotto il nuovo art. 639-ter rubricato “Circostanze attenuanti” il quale individua le medesime circostanze attenuanti previste dal nuovo art. 623-quater in relazione ai reati di cui agli artt. 629, terzo comma, 635-ter, 635-quater.1 e 635-quinquies
• Viene aggiunto al comma 2 dell’art. 640 il nuovo n. 2-ter) che introduce una nuova aggravante al reato di truffa nel caso in cui il fatto sia commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione. In tal caso la procedibilità del reato rimane a querela.
• Viene abrogato l’art. 615-quinquies che puniva la “Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”
• Viene prevista la confisca obbligatoria disciplinata dall’art. 240 co. 2 n. 1bis) anche per il reato di truffa aggravata ai sensi dell’art. 240 co. 2 n. 2-ter) c.p.

Principali modifiche al Codice di Procedura Penale:

• In materia di competenza distrettuale viene inserito all’interno dell’art. 51 co.3-quinquies il riferimento ai reati di cui agli artt. 635-quater.1, 635-quinquies c.p. e al reato disciplinato dall’art. 1, comma 11, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;
• In materia di durata massima delle indagini preliminari viene inserito all’interno dell’art. 407 co. 2 lett. a) il nuovo n. 7-ter), il quale prevede la durata massima di due anni delle indagini preliminari per i “delitti previsti dagli articoli 615-ter, 615-quater, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 635-quater.1 e 635-quinquies del codice penale, quando il fatto è commesso in danno di sistemi informatici o telematici di interesse militare o relativi all’or- dine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico”.

Principali modifiche al Decreto Legislativo 8 giugno 2002 n. 231:

• Viene modificato l’art. 24-bis: (i) Viene inasprito il trattamento sanzionatorio previsto dal primo comma con l’innalzamento da “da 100 a 500 quote” a “da 200 a 700 quote”; (ii) Dopo il primo comma viene inserito il nuovo comma 1-bis il quale prevede che “In relazione alla commissione del delitto di cui all’articolo 629, terzo comma, del codice penale, si applica all’ente la sanzione pecuniaria da trecento a ottocento quote”; (iii) Al comma 2 viene inserito il riferimento al reato di cui all’art. 635-quater.1 e viene innalzato il trattamento sanzionatorio fino a 400 quote; (iv) Al quarto comma viene previsto che “Nei casi di condanna per il delitto indicato nel comma 1-bis si ap­plicano le sanzioni interdittive previste dal­l’articolo 9, comma 2, per una durata non inferiore a due anni”

*.*.*

Alla luce di tali modifiche normative sarà dunque fondamentale una revisione e implementazione dei Modelli di Organizzazione Gestione e Controllo adottati dalle Società e un effettivo monitoraggio sulla corretta attuazione dei presidi di controllo previsti all’interno del documento aziendale.