NUOVA LEGGE SULLA CYBERSICUREZZA 2024:
COSA CAMBIA PER LE AZIENDE
Lo scorso 19 giugno 2024, è stato approvato al Senato, in via definitiva, il Disegno di legge di iniziativa governativa in materia di cybersicurezza e reati informatici (c.d. DDL Cybersicurezza), convertito in legge 28 giugno 2024 n. 90 (entrerà in vigore il prossimo 17 luglio), che introduce nuove misure per il rafforzamento delle infrastrutture informatiche delle Pubbliche Amministrazioni e degli istituti finanziari; interviene sulle fattispecie dei reati informatici e sul trattamento sanzionatorio ad essi riservato dal Codice Penale – con riflessi anche sul fronte della responsabilità amministrativa degli enti ex D. Lgs 231/01 – e prevede alcune modiche al Codice di Procedura Penale, nel tentativo di agevolare la persecuzione dei cybercrime.
Il testo di legge risulta suddiviso in due parti: nella prima vengono individuate le norme necessarie per sviluppare la capacità nazionale di prevenzione, monitoraggio, rilevamento, analisi degli incidenti di sicurezza informatica e degli attacchi cyber, nonché di risposta agli stessi; la seconda parte è invece dedicata ad una revisione del trattamento sanzionatorio dei reati informatici, alle modifiche di carattere processuale e a quelle in tema di responsabilità amministrativa degli enti.
Misure Chiave e Nuove Aggravanti
La legge introduce nuove misure per combattere i crimini informatici, includendo l’individuazione di nuove fattispecie di reato, l’uso di strumenti di indagine più efficaci, oltre a pene più severe.
Tra le misure introdotte, di particolare rilievo vi è l’obbligo per le amministrazioni, di segnalare entro 24 ore, gli attacchi ricevuti, oltre alla necessità di avere un responsabile per la transizione digitale e un responsabile per la protezione dei dati.
Si aggiunge il reato di truffa online con aggravanti per chi commette reati usando siti e piattaforme, oltre alla confisca obbligatoria degli strumenti informatici, da cui trarre i soldi per risarcire le vittime. L’aggravante rende il reato procedibile d’ufficio e punito con il carcere da uno a cinque anni e la multa da 309 a 1.549 euro, se il fatto è commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione. In caso di condanna o patteggiamento scatta la confisca obbligatoria, anche per equivalente, del profitto o prezzo del reato, nonché dei beni e strumenti informatici o telematici utilizzati per la commissione del reato, in tutto o in parte, e di quelli che ne costituiscono il profitto o il prodotto. Se questi non sono reperiti, la confisca potrà essere eseguita per equivalente.
Modifiche al Codice penale e di Procedura penale:
l’articolo 16 interviene in materia di prevenzione e contrasto dei reati informatici; mentre l’articolo 17 reca modifiche al Codice di procedura penale, finalizzate a recepire gli interventi in materia di prevenzione e contrasto dei reati informatici introdotte dal precedente articolo 16. Per questi reati si prevedono:
- l’attribuzione della competenza sulle indagini alla procura distrettuale;
- la deroga al regime ordinario per la proroga delle indagini preliminari;
- termini di durata massima delle indagini preliminari pari a due anni.
Tra le principali novità c’è l’aumento generalizzato delle pene e delle aggravanti per i reati informatici. Così, il reato di accesso abusivo a un sistema informatico o telematico aggravato è ora punito fino a dieci anni di carcere (il doppio del passato). Inoltre, tale fattispecie di reato, si allarga alla semplice «minaccia» di usare violenza su cose o persone per commettere il fatto e all’avere anche solo reso inaccessibili al titolare i dati, le informazioni o i programmi contenuti nel sistema o all’averli sottratti «anche mediante riproduzione o trasmissione». In precedenza, era punita solo l’attività di «distruzione o danneggiamento» del sistema o dei dati e «l’interruzione totale o parziale» del funzionamento.
Nuovo Reato di Estorsione Cyber
Altra importante novità è l’introduzione di un nuovo reato: l’estorsione “cyber”, all’interno dell’articolo 629 del Codice penale, sanzionato con il carcere da sei a dodici anni e la multa da 5mila a 10mila euro. La condotta è integrata da chi costringe taluno a fare od omettere qualche cosa, procurando a sé o altri un ingiusto profitto con altrui danno, con una di queste condotte:
- accesso abusivo a sistema informatico o telematico;
- intercettazione, impedimento o interruzione illecita di comunicazioni telematiche o informatiche;
- falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche;
- danneggiamento di informazioni, dati e programmi informatici, e di sistemi informatici o telematici.
La reclusione si alza da otto a 22 anni e la multa da 6.000 a 18.000 euro se è contestata una delle aggravanti dell’estorsione o se il reato è commesso nei confronti di persona incapace per età o per infermità. Le pene per i rinnovati cybercrime sono diminuite fino a un terzo per i fatti di lieve entità; la diminuzione va dalla metà a due terzi per chi si adopera per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, anche aiutando gli inquirenti nella raccolta degli elementi di prova o nel recupero dei proventi dei crimini o degli strumenti utilizzati per commetterli. L’attenuante della collaborazione potrà essere ritenuta prevalente sulla recidiva reiterata, in deroga all’ultimo comma dell’articolo 69 del Codice penale.
La legge interviene infine sul sistema della responsabilità delle persone giuridiche, previsto dal decreto legislativo 231/2001, inasprendo le sanzioni ed estendendole al reato di estorsione “cyber”: gli enti dovranno quindi adottare sistemi avanzati di cybersicurezza e segnalare tempestivamente gli attacchi per evitare sanzioni significative. Inoltre, l’articolo 20 ha apportato delle modifiche all’articolo 24 bis D. Lgs 231/01 prevedendo, un generale innalzamento delle sanzioni pecuniarie inflitte all’ente in relazione alla commissione, nel suo interesse o a suo vantaggio, di uno dei reati informatici contemplati.
In definitiva, la Legge n. 90/2024 sulla Cybersicurezza si presenta come una normativa di ampia portata, che, attraverso un’implementazione delle misure preventive e di contrasto degli attacchi cyber, nonché un rafforzamento degli strumenti di repressione dei reati informatici, mira ad individuare soluzioni ad un fenomeno ormai dilagante, a livello sia nazionale che globale, e in costante evoluzione.
