DDL Cybersicurezza: impatti sulla responsabilità amministrativa degli enti ex D.Lgs. 231/2001

In data 2 luglio 2024 è stata pubblicata, in Gazzetta Ufficiale, la Legge 28 giugno 2024, n. 90 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, a seguito dell’approvazione definitiva in Senato del disegno di legge di iniziativa governativa noto come “DDL Cybersicurezza”.
In particolare, la L. 90/2024 introduce modifiche sostanziali e procedurali riguardanti i reati informatici: prevede un innalzamento delle pene, estende i confini del dolo specifico, introduce nuove circostanze aggravanti e/o vieta le attenuanti per diversi reati che siano stati commessi tramite l’utilizzo di apparecchiature informatiche al fine di ottenere indebiti vantaggi con danno altrui, o per accedere abusivamente a sistemi informatici e/o per intercettare o interrompere comunicazioni informatiche e telematiche.
La legge sulla cybersicurezza ha altresì notevoli impatti in materia di responsabilità amministrativa degli ex D.lgs. n. 231/2001, alla luce delle modifiche apportate al reato presupposto previsto e punito dall’art. 24-bis del Decreto 231 “Delitti informatici e trattamento illecito di dati”.
Innanzitutto, il primo comma dell’art. 24-bis del D.lgs. n. 231/01 è stato oggetto di un generale innalzamento delle sanzioni pecuniarie inflitte all’ente in relazione alla commissione di uno dei reati informatici ivi contemplati, ora da 500 a 700 quote, in luogo della precedente cornice edittale da 100 a 200 quote.
Al comma 2 dell’articolo 24-bis, i riferimenti all’articolo 615-quinquies (“Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”), abrogato dalla L. 90/2024, sono stati rimossi e sostituiti con l’articolo 635-quater.1, i cui contenuti sono comunque sovrapponibili, seppur inaspriti dalla previsione di due nuove circostanze aggravanti.
Infine, è stato introdotto il nuovo comma 1-bis, che punisce la nuova fattispecie di estorsione mediante reati informatici (art. 629, comma 3, c.p.) con la sanzione pecuniaria da trecento a ottocento quote e con le sanzioni interdittive previste dall’art. 9, comma 2, del D.lgs. n. 231/01 per una durata non inferiore ai due anni.
Seppur, a primo avviso, appaia improbabile la configurabilità di un delitto informatico in aziende appartenenti a settori di business distanti da quello tech/cyber, in una diversa prospettiva tale configurabilità non sembra più così remota qualora la condotta criminosa attuata tramite strumenti informatici costituisca il “mezzo” per la realizzazione di altri e diversi illeciti il cui rischio di commissione è statisticamente più probabile nelle realtà produttive.



Condividi:
Pubblicato in Modello 231.