Home

Cybersicurezza e reati informatici: con il ddl 1717 una nuova prospettiva di tutela

Cesare Parodi
07 Giugno 2024

Il ddl «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» si presenta come un progetto di ampio respiro, che vuole rappresentare un punto di arrivo nel riconoscimento dell'assoluta centralità degli illeciti informatici nell'ambito del sistema di tutela penale. Per queste ragioni l'intervento non si limita a un globale inasprimento delle pene per una serie di reati specifici del settore e a un adeguamento delle disposizioni processuali che consentono una maggiore efficacia nel contrasto alle forme di criminalità, ma interviene anche sulla regolamentazione dei rapporti tra gli organismi chiamati – a differente titolo – all'accertamento dei reati e alla tutela delle comunicazioni telematiche e delle infrastrutture.

Premessa: un quadro normativo in evoluzione

È passato veramente molto tempo dal primo aprile 1994, data nella quale è entrata in vigore la l. 23 dicembre 1993, n. 547 «Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica», con la quale i reati informatici entravano a tutti gli effetti formalmente nel sistema penale italiano. Dopo anni di operazioni di ortopedia giuridica nelle quali si era cercato di modulare vecchie fattispecie a una realtà completamente nuova, la legge in oggetto aveva fornito un'ampia serie di indicazioni specifiche sulle tematiche che in quel momento risultavano di maggiore interesse nel settore: le frodi informatiche, le falsificazioni documentali, la lesione dell'integrità dei dati e dei sistemi e la violazione della riservatezza di comunicazioni informatiche.

Una legge che traeva spunto dalla Raccomandazione del Consiglio d'Europa del 1989 sulla criminalità informatica, che includeva una lista minima di reati obbligatoriamente da incriminare e che ha consentito di affrontare in modo più efficace le sfide poste dall'evoluzione tecnologica e dalla crescente diffusione dei sistemi informatici, anche se per molto tempo – e per certi aspetti ancora oggi – i reati informatici vengono visti da molti operatori come un settore di nicchia riservato a pochi “iniziati”. Una concezione purtroppo difficile da sradicare.

Un impulso significativo per il settore è stato, una quindicina di anni dopo, rappresentato dalla l. 18 marzo 2008, n. 48 "Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno", pubblicata nella G.U. n. 80 del 4 aprile 2008, che non si è limitata a intervenire su alcune fattispecie del diritto penale sostanziale, ma che soprattutto ha adeguato in larga misura alla Convenzione di Budapest gli strumenti procedurali idonei ad un efficace contrasto a questi reati, introducendo specificamente, tra l'altro, la perquisizione, l'ispezione e il sequestro informatico nell'ambito del codice di procedura penale.

Con il ddl 1717 recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” che da pochissimi giorni ha superato il “vaglio” della Camera, il Governo italiano intende intervenire nuovamente nel settore, al fine di potenziare la lotta e il contrasto agli attacchi informatici verso le infrastrutture critiche e migliorare la cybersicurezza nazionale. Un progetto ampio e ambizioso, che non si limita a interventi sulle fattispecie penali presenti nel sistema, ma che disciplina una serie di aspetti che sarebbe ingiusto definire collaterali, in quanto riguardano l'effettiva capacità del sistema stesso di fornire una risposta adeguata a forme di criminalità che si presentano – con sempre maggiore frequenza e intensità – tra le più insidiose in termini assoluti.

Come risulta dalla Relazione al ddl, lo stesso «contiene disposizioni riguardanti la cybersicurezza nazionale finalizzate a conseguire una più elevata capacità di protezione e risposta a fronte di emergenze cibernetiche. L'attuale contesto geo-politico, infatti, caratterizzato in particolare dai gravi conflitti internazionali in atto, favorisce l'incremento delle minacce informatiche e richiede, pertanto, in modo sempre più incalzante, il raggiungimento di un alto livello di cybersicurezza, attraverso l'attuazione di efficaci misure di gestione dei relativi rischi, nonché la necessità di un'immediata e quanto più completa conoscenza situazionale».

Il ddl fornisce specifiche indicazioni funzionali a potenziare il funzionamento dell'Agenzia per la cybersicurezza nazionale, a “irrobustire” il livello della cybersicurezza nazionale come quella delle pubbliche amministrazioni e che interviene anche sulla normativa sui contratti pubblici di beni e servizi informatici, per fare in modo che i profili correlati alla sicurezza informatica siano tenuti in giusto conto con riguardo alla valutazione dell'elemento qualitativo e ai fini dell'individuazione del miglior rapporto qualità prezzo per l'aggiudicazione dei contratti menzionati. In particolare, le disposizioni del Capo I (Disposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell'agenzia per la cybersicurezza nazionale e degli organismi di informazione per la sicurezza nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici – artt. 1-15) del ddl sono finalizzate a conseguire una più elevata capacità di protezione e risposta a fronte delle sempre più ricorrenti emergenze cibernetiche; quelle del Capo II (Disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari – artt. 16-24) mirano a prevenire e contrastare i reati informatici, nonché a coordinare gli interventi in caso di attacchi a sistemi informatici o telematici.

Nella presente sede non potremo approfondire le disposizioni del Capo I, in quanto nella prospettiva penalistica risultano prioritari i profili legati alle nuove fattispecie, ad alcune significative modifiche procedurali, alla figura del “pentito” informatico e alla nuova disciplina dei rapporti tra gli organi chiamati a intervenire nel settore per coordinare le attività investigative, contenute nel Capo II.

Le nuove fattispecie: il delitto di accesso abusivo ex art. 615-bis c.p. e l'estorsione informatica

Ad una prima lettura un dato emerge inequivoco dal decreto. Il legislatore ha inteso rafforzare la tutela penale del settore prevedendo significativi aumenti di pena; aumenti di pena che portano le fattispecie in oggetto fra quelle punite con maggior severità dall'ordinamento e che per certi aspetti rappresentano una realtà non facile da metabolizzare, nella quale erroneamente si continua a vedere i reati informatici come una forma di illecito in qualche modo minore, rispetto al quale il profilo tecnologico prevale sulla piena percezione del disvalore sociale della condotta.

Occorre, al contrario, considerare – sia in relazione alle possibilità di aggressioni patrimoniali, sia con riguardo alla possibilità di violazione della riservatezza e delle comunicazioni – che i reati informatici rappresentano senza ombra di dubbio uno dei maggiori pericoli per una serie di beni costituzionalmente garantiti.

Nello specifico, l'art. 12 del ddl contiene modifiche al codice penale, intervenendo, in primo luogo, su una delle due fattispecie che maggiore diffusione e “impatto” hanno avuto in concreto a partire dal 1993: il delitto di accesso abusivo ad un sistema informatico, di cui all'articolo 615-ter c.p. (l'altro è, evidentemente, il delitto di frode informatica di cui all'art. 640-ter c.p.).

Nello specifico, per le aggravanti previste dal secondo comma dell'articolo in oggetto:

  • sono stati raddoppiati i limiti edittali (comminandosi ora la pena della reclusione da due a dieci anni)
  • la circostanza di cui al numero 2) è stata ampliata al fine di affiancare all'uso della violenza anche l'impiego della minaccia

Di grande interesse risulta la modifica alla circostanza di cui al numero 3), nella quale dopo le parole: « ovvero la distruzione o il danneggiamento » sono inserite le seguenti: «ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l'inaccessibilità al titolare»; è stata così prevista la possibilità che dal fatto derivi «la sottrazione, anche mediante riproduzione o trasmissione, o l'inaccessibilità al titolare» dei dati, delle informazioni o dei programmi contenuti nel sistema in formativo; una modifica determinata dalla necessità di fornire una risposta al fenomeno criminale dei c.d. attacchi ransomware - che hanno avuto una drammatica diffusione negli ultimi anni; si tratta della condotta di chi sottrae, anche mediante riproduzione o trasmissione, ovvero renda inaccessibili al titolare, i dati, le informazioni o i programmi contenuti nel sistema informatico o telematico; condotta spesso rivolta anche contro soggetti pubblici, in grado di “mettere in ginocchio” quelle amministrazioni che non si sono tempestivamente e adeguatamente attrezzate non tanto e non solo per prevenire tali attacchi, quanto soprattutto – grazie a efficaci backup – a limitarne le conseguenze.

In realtà, il delitto di accesso abusivo è in moltissimi casi prodromico alla realizzazione del ben più grave illecito di estorsione: l'attacco ransomware e specificamente finalizzato a porre in essere una estorsione. Proprio le peculiarità del settore hanno suggerito di introdurre con il ddl una forma specifica di estorsione, modulata su quelle che sono le modalità operative criminali che negli ultimi anni si sono purtroppo riscontrate nel settore.

In questo senso, alla luce della gravità e frequenza di condotte ricattatorie poste in essere attraverso la minaccia o l'attuazione di attacchi informatici, al terzo comma dell'articolo 629 è stata introdotta, punita con pene più severe la seguente fattispecie: «Chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell'articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità».

In relazione all'art. 615-ter c.p., inoltre, sono state aumentate significativamente le pene previste dal terzo comma per i casi in cui l'oggetto materiale delle condotte delittuose sia costituito da sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico. Per l'ipotesi base si prevede la pena della reclusione da tre a dieci anni, mentre per le fattispecie aggravate da quattro a dodici anni. Con scelta che pare condivisibile, nel testo licenziato alla Camera non compare il divieto di bilanciamento originariamente previste per le nuove ipotesi. In effetti, si è osservato che «Se gli attacchi informatici alle aziende e alle pubbliche amministrazioni strategiche per il funzionamento del sistema paese possono essere una giustificazione per tale inasprimento è di tutta evidenza che qui il legislatore ha dimenticato una clausola di riserva che preveda un doppio binario sanzionatorio per i casi più lievi ovvero i casi nei quali l'accesso abusivo alla banca dati pubblica e strategica venga posta in essere non da gruppi hacker al soldo di Stati sovrani o gruppi criminali ma dal quisque de populo, spesso neanche per motivi di corruzione bensì di mera curiosità verso un personaggio pubblico, un fatto pubblico, di necessità di verificare un'informazione per gelosia nei confronti di un familiare o di altri casi simili davvero non così gravi da giustificare pene edittali da quattro a dodici anni di reclusione» (Così S. Aterno, Commento al disegno di legge del Governo n. 1717 presentato alla Camera il 16 febbraio 2024, in penaledp.it, 10 Maggio 2024).

Gli interventi sulle altre fattispecie: 615-quater e quinquies c.p.

Modifiche significative sono state anche apportate alla fattispecie di cui all'art. 615-quater c.p. (Detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all'accesso a sistemi informatici o telematici). Al riguardo si rileva che:

  • è stata modificata la descrizione dell'elemento soggettivo, passando dal dolo specifico «di profitto» all'indicazione di un «vantaggio»;
  • si interviene sul sistema delle aggravanti, che vengono sostanzialmente mantenute, sostituendosi l'improprio rinvio all'articolo 617-quater, comma 4, con il richiamo alle corrispondenti aggravanti di cui all'articolo 615-ter e, contestualmente, distribuendole in due successivi commi e irrobustendo le relative cornici edittali. È stata così prevista la pena della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, comma 2, numero 1);
  • è stabilita – comma terzo – la pena della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all'articolo 615-ter, comma 3.

In relazione alla fattispecie di cui all'art. 615-quinquies c.p. (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) la stessa è stata solo formalmente abrogata, ma la condotta viene riproposta nell'ambito del nuovo art. 635-quater.1 c.p., nell'ambito dei delitti di danneggiamento:

«Art. 635-quater.1.– (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) – Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico ovvero le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette in altro modo a disposizione di altri o installa apparecchiature, dispositivi o programmi informatici è punito con la reclusione fino a due anni e con la multa fino a euro 10.329.

La pena è della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, comma 2, numero 1).

La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all'articolo 615-ter, comma 3».

Le fattispecie in tema di comunicazioni

Il globale ripensamento sulle fattispecie in tema di reati informatici non poteva trascurare gli articoli specificamente dedicati alla tutela delle comunicazioni. Pur non intervenendo sostanzialmente sulla descrizione delle condotte il ddl modifica le previsioni sanzionatorie in termini maggiormente restrittivo.

Si tratta in particolare della disciplina dell'art:

  • 617-bis c.p., nel quale dopo il primo comma è inserito il seguente: «La pena è della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, comma 2, numero 1)» mentre nel secondo comma, le parole da: «ovvero da un pubblico ufficiale» fino alla fine del comma sono soppresse;

In questo senso il richiamo alle aggravanti dell'art. 615-ter c.p. di fatto consente di escludere le aggravanti specifiche previste nella versione originaria della norma.

  • 617-quater c.p., relativo al delitto di intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche, per il quale è intervenuto un riallineamento, di natura sistematica, del quarto comma al sistema delle aggravanti previste per l'accesso abusivo a sistema informatico; in questo senso, la pena è passata da tre a otto anni a quella da quattro a dieci anni.

Queste le modifiche sul quarto comma dell'art. 617-quater c.p.

Per la prima ipotesi, la formula «in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità» diviene: «in danno di taluno dei sistemi informatici o telematici indicati nell'articolo 615-ter, terzo comma».

Per la seconda le parole: «da un pubblico ufficiale» sono sostituite dalle seguenti: «in danno di un pubblico ufficiale nell'esercizio o a causa delle sue funzioni o da un pubblico ufficiale» e la parola: «ovvero» è sostituita dalle seguenti: «o da chi esercita, anche abusivamente, la professione di investigatore privato, o», mentre la terza ipotesi è abrogata. In concreto, pertanto, la norma risulta: «in danno di un pubblico ufficiale nell'esercizio o a causa delle sue funzioni o da un pubblico ufficiale o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema»

  • 617-quinquies c.p.: (delitto di detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire interrompere comunicazioni informatiche o telematiche) è previsto un innalzamento dei limiti edittali delle fattispecie aggravate, simile a quello previsto per l'articolo 635-quater.1. Il nuovo secondo comma prevede la pena della reclusione da due a sei anni quando ricorra taluna delle circostanze di cui all'articolo 617-quater, comma 4, numero 2),
  • 617-sexies, comma 2 c.p., (falsificazione, alte razione o soppressione del contenuto di comunicazioni informatiche o telematiche) l'ipotesi aggravata viene è punita con pena maggiore (da tre a otto anni).

Le modifiche in tema di truffa

Il ddl ha preso in considerazione, margine dei reati informatici “storici” anche il delitto di carattere generale di truffa, di cui all'art 640 c.p., inserendo nel testo di tale all'articolo, tra le ipotesi aggravate, nel secondo comma il comma 2-ter: «se il fatto è commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione». In sostanza, il ddl non interviene sulla ipotesi “specifica” della frode informatica di cui all'art. 640-ter c.p., ma sulla truffa ex art. 640 c.p., limitandosi a “tipizzare” una condotta eccezionalmente diffusa in ambito commerciale in particolare per le operazioni di compravendita on-line, rispetto alle quali la S.C. aveva ipotizzato – in alcune decisioni- la possibilità di contestare la circostanza aggravante della minorata difesa (ex multiis Cass. pen., sez. II, n. 42941/2014, CED 260476).

Sarà inoltre necessario verificare gli ambiti di applicazione della nuova aggravante rispetto alle ipotesi che potrebbero essere introdotte dal ddl in tema di intelligenza artificiale, verificando se e in quali termini le nuove fattispecie potranno concorrere. Si pensi, in particolare, a fattispecie per le quali l'impiego di sistemi di IA è previsto quale aggravante specifica, quale il delitto di sostituzione di persona di cui all' art. 494 c.p., per la quale è stata prevista una pena da uno a tre anni di reclusione (sul tema sia consentito rinviare a C. Parodi, Sistema penale e ddl sull'intelligenza artificiale: prospettive e criticità, 13 maggio 2024).

In tema di procedibilità il ddl specifica che, nel quarto comma dell'art. 640 c.p. («Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze previste dal capoverso precedente») la procedibilità a querela è mantenuta per le sole ipotesi aggravate del predetto comma 2-ter.

In tema di confisca, infine, le disposizioni di cui all'art 322 c.p., richiamate dall'art. 640-quater c.p., tra l'altro, per l'ipotesi aggravata di cui all'art. 640, comma 2, numero 1, è estesa all'ipotesi di cui al comma 2-ter del medesimo articolo.

I danneggiamenti

Il ddl interviene sistematicamente anche sulle fattispecie riconducibili alla categoria “generale” dei danneggiamenti informatici.

Per il delitto di cui all'art. 635-bis c.p. (Danneggiamento di informazioni, dati e programmi informatici) vi è un incremento di pena per l'ipotesi base: da sei mesi a tre anni si passa da due a sei anni. Inoltre, l'ipotesi aggravata di cui al comma 2 («Se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni») viene articolata su due punti e con una pena decisamente - reclusione da tre a otto anni - decisamente più significativa. Queste le ipotesi:

  1. se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
  2. se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato».

Identico intervento è stato realizzato per l'ipotesi aggravata del delitto di danneggiamento di sistemi informatici o telematici, previsto dall'articolo 635-quater c.p., laddove la pena per l'ipotesi base di cui al comma 1 viene passa da uno a cinque di reclusione è ora stabilita nella misura da due a sei anni. Dopo l'articolo 635-quater è stato inserito l'art. 635-quater.1. («Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico»), che, come abbiamo visto al punto 3, ricalca il testo dell'art. 615-quinques c.p., abrogato.

Modificato anche il testo dell'art. 635-ter c.p. («Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità»: anche nella rubrica, le parole: «utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità» sono sostituite dai: «pubblici o di interesse pubblico»).

La pena viene aumentata – rispetto a quella della reclusione da uno quattro anni – con l'indicazione da due a sei anni e rispetto al testo originario le parole «utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni » sono sostituite dalle seguenti: « di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, è punito con la reclusione da due a sei anni».

Inoltre, il secondo e il terzo comma sono sostituiti dalle aggravanti, sopra evidenziate per il delitto di cui all'art. 635-bis c.p., con la medesima pena (reclusione da tre a otto anni), pena prevista anche per la terza ipotesi indicata dal ddl («se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l'alterazione o la soppressione delle informazioni ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l'inaccessibilità al legittimo titolare dei dati o dei programmi informatici.».

Infine, è prevista la pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3)».

E' stato sostituito integralmente il testo dell'art. 635-quinquies c.p. («Danneggiamento di sistemi informatici o telematici di pubblica utilità» ora rubricato «Danneggiamento di sistemi informatici o telematici di pubblico interesse») in sintonia con le modifiche della altre disposizioni sopra trattate e con un significativo inasprimento di pena; il nuovo testo prevede che: «Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all'articolo 635-bis ovvero attraverso l'introduzione o la trasmissione di dati, informazioni o programmi, compie atti diretti a distruggere, danneggiare o rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblico interesse ovvero ad ostacolarne gravemente il funzionamento è punito con la pena della reclusione da due a sei anni ».

Anche il comma terzo è stato sostituito con la previsione delle aggravanti – punite con la reclusione da tre a otto anni – sopra richiamate relativa al reato di cui all'art. 615-ter c.p. , anche se la terza ipotesi risulta in parte difforme («se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l'alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici»); analogamente si è prevista la pena della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3).

Le nuove circostanze attenuanti

Il generale “giro di vite” in punto pena per molti dei reati oggetto del ddl avrebbe potuto determinare un “irrigidimento” interpretativo e comunque criticità nei casi, non infrequenti, di situazioni in fatto rispetto alle quali stridente in quanto inadeguato potrebbe risultare il minimo edittale. A tal fine il ddl ha introdotto, nel capo I del titolo tredicesimo del libro secondo, dopo l'articolo 639-bis, l'art. 639-ter c.p. (Circostanze attenuanti) che in realtà disciplina due differenti ipotesi.

Per la prima «Le pene comminate per i delitti di cui agli articoli 629, comma 3, 635-ter, 635-quater.1 e 635-quinquies sono diminuite quando, per la natura, la specie, i mezzi, le modalità o le circostanze dell'azione ovvero per la particolare tenuità del danno o del pericolo, il fatto risulti di lieve entità». Il fatto di lieve entità diviene, pertanto, per i reati menzionati, circostanze generale che dovrebbe consentire – in termini di giustizia sostanziale – di adeguare, almeno in parte, le pena comminata all'effettivo disvalore del fatto. È interessante rilevare come i principi di valutazione della lieve entità siano stati indicati con grande ampiezza, di modo che la stessa potrà essere applicata verosimilmente in termini altrettanto ampi.

Per la seconda ipotesi si tratta in sostanza di un recesso attivo speciale rispetto alla disposizione di cui all'art. 56 c.p.: «Le pene comminate per i delitti di cui al primo comma sono diminuite dalla metà a due terzi per chi si adopera per evitare che l'attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l'autorità di polizia o l'autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi. Non si applica il divieto di cui all'articolo 69, comma 4 c.p.». Quest'ultima indicazione pare funzionale ad assicurare la compatibilità con i principi costituzionali dell'intervento, sottraendo le circostanze al divieto di prevalenza sulla recidiva reiterata e sulle altre circostanze di cui all'art. 69, comma 4 c.p.

Le modifiche processuali

Il riconoscimento di una maggiore gravità e del conseguente maggiore allarme delle fattispecie prese in considerazione dal ddl ha imposto alcune specifiche modifiche anche a norme procedurali, ad iniziare dalla disciplina dell'articolo 51 c.p.p. (Uffici del pubblico ministero. Attribuzioni del procuratore della Repubblica distrettuale).

L'art. 17 del ddl ha previsto, nel comma 3-quinquies di tale articolo la soppressione del richiamo all'art. 615-quinquies c.p. e ha ricompreso nell'elenco di cui a tale comma le fattispecie delittuose di cui agli articoli:

  • 635-quater.1 c.p. (detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico)
  • 635-quinquies c.p. (danneggiamento di sistemi informatici o telematici di pubblico interesse)
  • 1, comma 11, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 (che punisce le false informazioni tese a ostacolare o condizionare la forma zione e trasmissione dell'elenco delle reti, sistemi informatici e informativi da parte degli operatori compresi nel perimetro di sicurezza cibernetica, le procedure di affidamento delle forniture di strumenti desti nati ai servizi e sistemi informatici, o le attività ispettive o di vigilanza su reti, sistemi informatici e servizi informatici.

Anche tali reati, pertanto, risultano la competenza è individuata all'ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente.

Ancora con l'art. 17 - sempre in forza del riconoscimento della potenziale complessità delle indagini sui reati oggetto dell'intervento, sono integrati gli articoli 406 e 407 c.p.p. con In l'eccezione alla previsione alle modalità operative di comunicazione della proroga dei termini delle indagini preliminari richiesta dal P.M. nonché alla notifica della concessione di tale proroga; conseguentemente, i quando i reati in oggetto sono commessi in danno di sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la durata massima delle indagini è di due anni e la richiesta di proroga dei termini intermedi non deve essere notificata agli indagati e non deve avvenire la fissazione dell'udienza in camera di consiglio da parte del giudice per le indagini preliminari, in caso di mancato accoglimento dell'istanza.

In particolare, risulta modificato art. 407, comma 2, lettera a), dopo il numero 7-bis), al quale è aggiunto il seguente comma: « 7-ter) delitti previsti dagli articoli 615-ter, 615-quater, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 635-quater.1 e 635-quinquies c.p., quando il fatto è commesso in danno di sistemi informatici o telematici di interesse militare o relativi all'or dine pubblico o alla sicurezza pubblica alla sanità o alla protezione civile o comunque di interesse pubblico».

In tal modo è estesa anche a tali delitti informatici il regime che amplia a due anni il termine per le indagini preliminari, qualora il fatto sia commesso in danno di sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico.

In particolare, le intercettazioni

Sarebbe stato per certi aspetti difficile non corredare il globale riconoscimento di una maggiore gravità delle ipotesi prese in considerazione dal disegno di legge e la loro centralità nel sistema, senza prevedere la possibilità di una maggiore “fruibilità” delle intercettazioni. È una questione di logica di sistema: se per molti aspetti, come abbiamo visto e come vedremo, i reati presi in considerazione dal ddl sono parificati a quelli in materia di criminalità organizzate e terrorismo, non avrebbe avuto senso non mettere a disposizione degli investigatori la possibilità di intercettare sulla base dei medesimi presupposti di cui all'art. 13 d.l. n 152/1991, convertito, con modificazioni, dalla l. n. 203.

Ecco che allora, l'art. 19 del ddl aggiunge al menzionato art. 13 un comma 3-bis: «3-bis. Le disposizioni dei commi 1, 2 e 3 si applicano anche quando si procede in relazione a taluno dei delitti, consumati o tentati, previsti dall'articolo 371-bis, comma 4-bis, c.p.p.». Ne consegue che potranno essere autorizzate dal giudice per le indagini preliminari sulla base di sufficienti indizi di reato, quando necessarie per la prosecuzione delle indagini, per un termine di quaranta giorni, suscettibile di proroga per ulteriori periodi di venti giorni.

La disciplina dei “collaboratori” informatici

L'inserimento delle ipotesi di reati informatici nei termini precisati dal ddl tra le competenze, per altro in parte già previste – della DNA ha determinato il legislatore a estendere alle discipline di tali reati alcuni aspetti tipici del contrasto alle forme di criminalità delle quali deve occuparsi la DNA. Si tratta di disposizioni che ampliano il ruolo di coordinamento al procuratore nazionale antimafia e antiterrorismo delineato dal decreto-legge 10 agosto 2023, n. 105, convertito, con modificazioni, dalla legge 9 ottobre 2023, n. 137

L'art. 18. (Modifiche al decreto-legge 15 gennaio 1991, n. 8, convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82, in tema, tra l'altro di protezione e trattamento sanzionatorio di coloro che collaborano con la giustizia) interviene su tre differenti aspetti, estendendo ai detenuti per i reati di cui all'articolo 371-bis, comma 4-bis tre aspetti disciplinati dal menzionato d.l.

In primo luogo, è modificato l'articolo 9, comma 2, del d.l. n 8/1991, n. 8, convertito, con modificazioni, dalla l. n. 82/1991, di modo che è consentita l'adozione, per gli autori dei reati informatici previsti al comma 4-bis dell'articolo 371-bis c.p.p. delle speciali misure di protezione riservate ai soggetti che abbiano collaborato nell'ambito di un procedimento penale, rendendo dichiarazioni qualificate ai sensi del comma 3 del medesimo articolo (intrinseca attendibilità, carattere di novità e completezza, di notevole importanza per lo sviluppo delle indagini…).

In secondo luogo, è modificato l'articolo 11, comma 2, del medesimo d.l., così che per i medesimi reati informatici di cui all'articolo 371-bis, comma 4-bis, la comunicazione della proposta di ammissione alle speciali misure di protezione spetta al procuratore nazionale antimafia e antiterrorismo, ampliando altresì la cognizione di quest'ultimo sui contrasti nel caso di più uffici del pubblico ministero che procedono a indagini collegate.

È inoltre estesa – ex art. 16-nonies, comma 1, del medesimo decreto legge – alle persone condannate per i reati informatici attribuiti al coordinamento del procuratore nazionale antimafia e antiterrorismo dall'articolo 371-bis, comma 4-bis c.p.p., la disciplina speciale dei benefìci penitenziari riservati dalla legge ai soggetti che collaborano con la giustizia.

L'esperienza giudiziaria potrà chiarire quale possa essere, quale può essere l'impatto di tale estensione rispetto al contrasto alla criminalità informatica. Indubbiamente, la previsione di pene edittali decisamente più elevate rispetto al passato potrà costituire un concreto incentivo al ricorso a forme di collaborazione, fermo restando che – per molti aspetti – la realtà sociologica dei criminali informatici non pare direttamente assimilabile a quella della criminalità organizzata “comune”.

Le nuove indicazioni sul coordinamento

Di grande rilevo deve essere considerato il contenuto dell'art. 22 del ddl, che disciplina i rapporti tra l'Agenzia per la cybersicurezza nazionale (di seguito ACN), il procuratore nazionale antimafia e antiterrorismo, la polizia giudiziaria e il pubblico ministero, intervenendo sull'articolo 17 del d.l. 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 (decreto definisce l'architettura nazionale della cybersicurezza e istituisce l'ACN).

Nel momento in cui il legislatore riconosce assoluta rilevanza non soltanto agli interessi tutelati dalle norme in oggetto ma dei potenziali pericoli che gli interessi pubblici possono correre a fronte dei reati, per i quali, come abbiamo visto sopra, è stata riconosciuta la competenza del Direzione nazionale antimafia, non poteva mancare uno sforzo di coordinamento effettivo e puntuale tra le autorità chiamate a assicurare interventi efficaci a tutela delle infrastrutture e, allo stesso tempo, ad accertare la sussistenza di penali responsabilità. In questo quadro, si ribadisce il ruolo dell'Autorità nazionale per la cybersicurezza. Autorità chiamata – anche – a promuovere e sviluppare iniziativa, per la valorizzazione dell'intelligenza artificiale come risorsa per il rafforzamento della sicurezza e della resilienza cibernetiche nazionali.

Le modifiche si articolano in vari punti.

In via preliminare, è stato modificato il comma 4 dell'art. 17 del menzionato d.l. n 82/2021: «Il personale dell'Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione immediata delle notifiche di incidente ricevute dal CSIRT Italia all'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, costituisce adempimento dell'obbligo di cui all'articolo 331 del codice di procedura penale»; viene pertanto riconosciuto e responsabilizzato il ruolo del personale dell'Agenzia.

Una condizione di reciprocità delle informazioni che devono essere fornite per le vicende contemplate dal ddl; sono stati così previsti reciproci obblighi informativi tra l'ACN e l'autorità giudiziaria, diretti ad assicurare l'efficace e tempestivo svolgimento delle attività di ripristino, l'assicurazione delle fonti di prova e il coordinamento del procuratore nazionale antimafia e antiterrorismo per i reati indicati nel novellato articolo 371-bis, comma 4-bis, c.p.p.

Nello specifico nei casi in cui l'Agenzia ha notizia di un attacco ai danni di uno dei sistemi informatici o telematici di cui all'articolo 371-bis, comma 4-bis, c.p.p. (nonché in altre ipotesi richiamate dal ddl) informa senza ritardo il procuratore nazionale antimafia e antiterrorismo.

A sua volta, quando acquisisce la notizia dei delitti di cui all'articolo 371-bis, comma 4-bis, c.p.p., il pubblico ministero ne dà tempestiva informazione all'Agenzia e assicura, altresì, il raccordo informativo con l'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione.

Sul piano dello svolgimento degli accertamenti il ddl stabilisce che «In ogni caso, il pubblico ministero impartisce le disposizioni necessarie ad assicurare che gli accertamenti urgenti siano compiuti tenendo conto delle attività svolte dall'Agenzia, a fini di resilienza, di cui all'articolo 7, comma 1, lettere n) e n-bis), e può disporre il differimento di una o più delle predette attività, con provvedimento motivato adottato senza ritardo, per evitare un grave pregiudizio per il corso delle indagini». Non solo, il pubblico ministero, quando procede ad accertamenti tecnici irripetibili in relazione ai delitti di cui all'articolo 371-bis, comma 4-bis, c.p.p., informa senza ritardo l'Agenzia, che mediante propri rappresentanti può assistere al conferimento dell'incarico e partecipare agli accertamenti. Le disposizioni del primo periodo si applicano anche quando agli accertamenti si procede nelle forme dell'incidente probatorio».

Tre indicazioni della quale emerge chiarissimo un messaggio: l'attività giudiziaria deve essere svolte garantendo uno specifico e tempestivo coordinamento con le autorità chiamate a garantire la sicurezza e l'efficienza delle infrastrutture prese in considerazione delle nuove disposizioni

La modifica in tema di d.lgs. n. 231/2001

L'art. 20 del ddl 1717 interviene anche in materia di responsabilità amministrativa degli enti per gli illeciti dipendenti da reato informatico, modificando sul punto l'articolo 24-bis d.lgs. 8 giugno 2001, n. 231; il ddl prevede l'innalzamento delle sanzioni previste al comma 1 (che passano da un arco edittale compreso tra cento e cinquecento quote, ad un arco compreso tra duecento e settecento quote). È previsto, inoltre;

  • l'inserimento di un comma 1-bis che prevede la sanzione pecuniaria per la nuova ipotesi di estorsione informatica introdotta all'articolo 629, comma 3, c.p. (con sanzione pecuniaria da trecento a ottocento quote)
  • la previsione di sanzioni pecuniarie al comma 2 per il reato di nuova formulazione previsto all'articolo 635-quater.1 (per il quale si applica all'ente la sanzione pecuniaria sino a quattrocento quote)
  • la previsione, al comma 4 dello stesso articolo, delle sanzioni interdittive di cui all'articolo 9, comma 2, per una durata non inferiore a due anni nei casi di condanna per il delitto indicato nel citato comma 1-bis.

Riferimenti

  • F. Cajani, I reati informatici patrimoniali, in Diritto penale dell'impresa (a cura di C. Parodi), Vol. II, Milano Giuffrè, 2017;
  • C. Parodi- V. Sellaroli, Diritto penale dell'informatica, Giuffrè Francis Lefebvre, Milano, 2020.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.