Legge 90/2024 sulla Cybersicurezza e compliance integrata: gli impatti su Modello 231 e privacy
La norma introduce modifiche sostanziali e procedurali riguardanti i reati informatici prevedendo un innalzamento delle pene, una estensione dei confini del dolo specifico e l’introduzione di nuove circostanze aggravanti
In data 2 luglio 2024 è stata pubblicata in Gazzetta Ufficiale la Legge 28 giugno 2024, n. 90 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” (nel seguito anche “ legge sulla cybersicurezza ”), a seguito dell’approvazione definitiva in Senato del disegno di legge di iniziativa governativa noto come “DDL Cybersicurezza”.
L’attenzione rivolta al settore cyber è imposta da un contesto storico in cui la criminalità informatica continua ad evolversi rapidamente, adottando tecniche intrusive difficili da contrastare. Come rilevato nel Documento di Approfondimento pubblicato da AODV231 “La prevenzione dei reati informatici: rischi 231, data protection e misure di compliance”, “ gli attacchi informatici sono aumentati negli anni 2020 e 2021 non solo in termini di vettori e numeri, ma anche di impatto ”. Ciò è confermato dalla Relazione annuale al Parlamento svolta dall’Agenzia per la Cybersicurezza Nazionale (ACN), che ha trattato nel 2022 oltre mille incidenti informatici, stimandone altrettanti, non denunciati per molteplici ragioni.
La Legge in commento, in generale, mira ad aumentate la sicurezza informatica per difendersi dai cyber-attacchi, aumentando le sanzioni previste per i c.d. “computer crimes”.
In particolare, la L. 90/2024 introduce modifiche sostanziali e procedurali riguardanti i reati informatici: prevede un innalzamento delle pene, estende i confini del dolo specifico, introduce nuove circostanze aggravanti e/o vieta le attenuanti per diversi reati che siano stati commessi tramite l’utilizzo di apparecchiature informatiche al fine di ottenere indebiti vantaggi con danno altrui, o per accedere abusivamente a sistemi informatici e/o per intercettare o interrompere comunicazioni informatiche e telematiche.
La legge sulla cybersicurezza ha altresì notevoli impatti in materia di responsabilità amministrativa degli ex D.lgs. n. 231/2001 (di seguito “ Decreto 231 ”), alla luce delle modifiche apportate al reato presupposto previsto e punito dall’art. 24-bis del Decreto 231 “ Delitti informatici e trattamento illecito di dati ”.
Innanzitutto, il primo comma dell’art. 24-bis del D.lgs. n. 231/01 è stato oggetto di un generale innalzamento delle sanzioni pecuniarie inflitte all’ente in relazione alla commissione di uno dei reati informatici ivi contemplati, ora da 500 a 700 quote, in luogo della precedente cornice edittale da 100 a 200 quote.
Al comma 2 dell’articolo 24-bis, i riferimenti all’articolo 615-quinquies (“Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”), abrogato dalla L. 90/2024, sono stati rimossi e sostituiti con l’articolo 635-quater.1 , i cui contenuti sono comunque sovrapponibili, seppur inaspriti dalla previsione di due nuove circostanze aggravanti.
Infine, è stato introdotto il nuovo comma 1-bis, che punisce la nuova fattispecie di estorsione mediante reati informatici (art. 629, comma 3, c.p.) con la sanzione pecuniaria da trecento a ottocento quote e con le sanzioni interdittive previste dall’art. 9, comma 2, del D.lgs. n. 231/01 per una durata non inferiore ai due anni.
Seppur, a primo avviso, appaia improbabile la configurabilità di un delitto informatico in aziende appartenenti a settori di business distanti da quello tech/cyber, in una diversa prospettiva tale configurabilità non sembra più così remota qualora la condotta criminosa attuata tramite strumenti informatici costituisca il “mezzo” per la realizzazione di altri e diversi illeciti il cui rischio di commissione è statisticamente più probabile nelle realtà produttive.
Si pensi ad un ipotetico caso del neoassunto Responsabile commerciale della società Alpha S.p.A., ex dipendente della società Beta S.r.l., il quale - nonostante gli siano stati revocati i privilegi di accesso – riesce ad accedere abusivamente ai sistemi informatici della società Beta S.r.l. e a carpire dati personali e informazioni commerciali riservate al fine di sfruttarle a vantaggio della società Alpha S.p.A.. Potrebbe ritenersi configurabile, in questo caso, un concorso tra il delitto informatico di “Accesso abusivo ad un sistema informatico o telematico” (615-ter c.p. e 24-bis D.lgs. n. 231/2001) ed uno dei delitti contro l’industria ed il commercio di cui all’art. 25-bis.1 del D.lgs. n. 231/2001.
Ancora, si rifletta su un secondo ipotetico caso: un dipendente della società Gamma S.r.l., durante l’utilizzo di un macchinario privo di “carter di protezione”, subisce un infortunio grave e la scena è ripresa da una videocamera del sistema di videosorveglianza della struttura. Il direttore di stabilimento della società, prima di attivare i soccorsi, manomette il supporto del sistema di videosorveglianza sul quale erano state memorizzate le registrazioni relative all’incidente, cancellandole, per poi installare il carter di protezione sul macchinario. La condotta così descritta potrebbe rientrare nel perimetro del reato di cui all’art. 635-quater c.p. “Danneggiamento di sistemi informatici o telematici” previsto e punito dall’art. 24-bis del D.lgs. n. 231/2001, in quanto commessa anche nell’interesse e a vantaggio della società Gamma S.r.l., essendo volta ad evitare sia le sanzioni per le violazioni in materia di salute e sicurezza sul lavoro, sia il probabile danno reputazionale.
Peraltro, la commissione di un reato informatico coincide, il più delle volte, con il verificarsi di una Violazione dei dati personali (c.d. “ data breach ”), prevista dall’art. 33 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali (“ GDPR ”). Come noto, infatti, la violazione dei dati personali è una “violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Nel caso in cui si verifichi una violazione dei dati personali, il GDPR - il cui rispetto, si rammenta, è obbligatorio – impone al Titolare del trattamento di notificare la violazione al Garante per la protezione dei dati personali, ciò senza ingiustificato ritardo e comunque entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che tale violazione dei dati personali comporti un rischio per i diritti e le libertà degli interessati.
Per minimizzare i rischi ora analizzati, è opportuno che gli enti, con il supporto dei propri consulenti di compliance aziendale e con la supervisione dell’Organismo di Vigilanza, valutino gli impatti di tale aggiornamento normativo sui propri Modelli di Organizzazione e Gestione ai sensi del D. Lgs. 231/2001, nonché sul proprio Modello Privacy.
In termini operativi, nella costruzione e/o revisione del Modello organizzativo 231 e nello sviluppo di un sistema di compliance in materia di protezione dei dati, le società sono tenute a valutare i rischi e le misure di controllo da implementare per contenere le minacce informatiche in un’ottica risk-based approach . Nel dettaglio, sarà fondamentale:
- stabilire ed applicare procedure interne per assicurare la sicurezza dei sistemi informatici prevedendo, ad esempio, rigide misure di segregazione degli accessi logici, al fine di impedire a soggetti non autorizzati di accedere e manomettere (come nell’esempio della società Gamma S.r.l.) strumentazione informatica;
- implementare sistemi di monitoraggio continuo per identificare tempestivamente eventuali minacce o violazioni;
- organizzare programmi di formazione per sensibilizzare i dipendenti in materia di responsabilità amministrativa degli enti con l’intento di evitare (come visto nell’esempio della società Alpha S.p.A.) che l’azione illecita di un dipendente comporti l’apertura di un procedimento ex Decreto 231 a carico della società.
In conclusione, è evidente che la compliance integrata, frutto della collaborazione tra consulenti compliance e OdV, non rappresenta solo un adempimento normativo, ma contribuisce anche a creare una cultura aziendale orientata alla sicurezza ed alla consapevolezza dei rischi digitali. L’obiettivo di un ente sano deve essere quello di superare la visione settoriale della protezione dei dati e della conformità aziendale, puntando invece alla gestione aziendale in un’ottica interdisciplinare.
______
*A cura di Avv. Sebastiano Liistro, Complegal