NUOVA LEGGE CYBERSICUREZZA E REATI INFORMATICI: saremo più sicuri? È stata appena pubblicata (il 2 luglio 2024) la nuova normativa su cybersicurezza (ovverosia sicurezza informatica) e reati informatici. Il tanto atteso provvedimento stabilisce alcuni obblighi, anzitutto per le pubbliche amministrazioni, ma anche per la filiera degli appalti, prima di tutto di crittografia, ma anche di comunicazione degli “attacchi” informatici e dotazione di uffici dedicati alla sicurezza informatica, il tutto sotto la vigilanza di agenzie governative specifiche. Vengono introdotti anche aggravamenti sanzionatori e modifiche che riguardano i reati.
NUOVA LEGGE CYBERSICUREZZA E REATI INFORMATICI: saremo più sicuri? Cenni introduttivi sulla nuova legge cybersicurezza e reati informatici È stata appena pubblicata (il 2 luglio 2024) la nuova normativa su cybersicurezza (ovverosia sicurezza informatica) e reati informatici. Il tanto atteso provvedimento segue il Regolamento Ue 2023/2841 e prima ancora il decreto legge (italiano) 105/2019, i quali succedono a loro volta alla cosiddetta Direttiva NIS (Direttiva (UE) 2016/1148 sulla sicurezza delle reti e dei sistemi informativi), che è stata recepita nel nostro ordinamento attraverso il decreto legislativo 18 maggio 2018, n. 65 (anche detto “decreto legislativo NIS”), in vigore dal 24 giugno 2018 e su tale scia stabilisce alcuni obblighi, anzitutto per le pubbliche amministrazioni, ma anche per la filiera degli appalti, prima di tutto di crittografia, ma anche di comunicazione degli “attacchi” informatici e dotazione di uffici dedicati alla sicurezza informatica, il tutto sotto la vigilanza di agenzie governative specifiche. Vengono introdotti anche aggravamenti sanzionatori e modifiche che riguardano i reati. Vediamo questi aspetti più nel dettaglio.
I rilievi penali e sanzionatori in genere della nuova legge cybersicurezza e reati informatici Anzitutto sanzioni amministrative importanti in caso di reiterata omissione di comunicazione di attacchi informatici, così come le “recidive” (sa 25.000 euro a 125.000 euro). Secondariamente nuove fattispecie nel decreto legislativo 231/01 sulla responsabilità amministrativa da reato (art. 24 bis, comma 1 bis: la nuova estorsione informatica ex art. 629, comma 3 cod. pen.), aumento della forbice sanzionatoria tra duecento e settecento quote. L’introduzione del nuovo reato di estorsione informatica ex art. 629, comma 3 cod. pen. prevede la pena della reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000 (“Chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell'articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità”). Sono previsti, inoltre, l’aggravamento delle sanzioni relative a tutte le fattispecie di reato connesse con l’utilizzo degli strumenti informatici, l’introduzione dell’art. 635, quater 1 cod. pen. (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) e la modifica dell’art. 635-quinquies (Danneggiamento di sistemi informatici o telematici di pubblico interesse). Con ritocchi alle circostanze aggravanti, ma anche alle attenuanti applicabili specificatamente. La competenza per questi reati viene confermata alla Procura distrettuale.
In sintesi: La nuova legge sulla cybersicurezza e i reati informatici, in vigore in larga parte dal 17 luglio 2024, segue normative europee e nazionali precedenti. La normativa impone obblighi di sicurezza informatica per le pubbliche amministrazioni e la filiera degli appalti legati alle stesse, con sanzioni in caso di omissione di comunicare attacchi informatici. Vengono introdotti nuovi reati, con pene più severe e sanzioni amministrative rilevanti, anche fino a 125.000 euro. Sono previsti nuovi reati come l'estorsione informatica, con reclusione da sei a dodici anni e multe fino a 10.000 euro. Sono aumentate le sanzioni per i cosiddetti reati informatici e sono state introdotte nuove norme per chi danneggia i sistemi informatici pubblici. La competenza per le indagini per questi reati è della Procura distrettuale (cioè presso il Tribunale capoluogo del distretto, che spesso coincide con il capoluogo di Regione).
Naturalmente ogni caso è a sé e richiede un approfondimento specifico da parte di Avvocati esperti nelle varie materie.
di Marco Vianello Avvocato a Mestre, Venezia e Treviso email: marcovianello@legalivenezia.it