Legge 90 2024 in materia di rafforzamento della cybersicurezza nazionale e di reati informatici

Come noto, in data 2 luglio 2024, è stata pubblicata in Gazzetta Ufficiale la Legge 28 giugno 2024, n.90 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” (di seguito anche “Legge Cybersecurity”).

La pubblicazione costituisce passaggio di irrobustimento della strategia nazionale in materia di sicurezza informatica e comporta l’introduzione di novità che impattano direttamente o indirettamente sulle principali normative di compliance, tra le quali il D.lgs. n. 231/2001 in materia di responsabilità amministrativa degli enti e la normativa in materia di protezione dei dati personali.

In attesa del recepimento nazionale della Direttiva sulle misure di cybersicurezza, cosiddetta “NIS2”, la Legge Cybersecurity spinge i destinatari ad aumentare la sicurezza informatica per difendersi dai cyberattacchi e inasprisce le sanzioni previste per alcuni tipi di reati informatici.

Il primo capo della legge introduce rilevanti novità in materia di obblighi di notifica degli incidenti informatici, di interventi risolutivi indicati dall’Agenzia per la Cybersicurezza Nazionale (di seguito anche “ACN”), laddove quest’ultima dovesse segnalare vulnerabilità e di contratti pubblici con i provider tecnologici che dovranno tenere in considerazione alcuni elementi di cybersecurity definiti con apposito decreto del Presidente dei Ministri.

Tra le disposizioni più rilevanti, si cita l’art. 1, che amplia il novero dei soggetti sottoposti all’obbligo di notifica degli incidenti di sicurezza all’ACN. Tra i soggetti obbligati, sono ricomprese, nello specifico, le pubbliche amministrazioni centrali, le regioni, le province, le città metropolitane, i comuni capoluoghi di regione i comuni con popolazione superiore a 100.000 abitanti, le aziende sanitarie locali, le società di trasporto pubblico e le società in house che forniscono servizi informatici, di trasporto e di raccolta, smaltimento rifiuti o trattamento di acque reflue. Per tali destinatari, viene previsto, tra gli altri, un obbligo di notifica all’ACN degli incidenti informatici entro 24 ore e di notifica completa entro le 48 ore successive.

Occorre sottolineare, inoltre, che la reiterata violazione di questo obbligo, nell’arco di cinque anni, oltre a esporre i destinatari a ispezioni dell’ACN, comporta l’applicazione di una sanzione amministrativa da 25.000 euro a 125.000 euro da parte dell’ACN, e costituisce causa di responsabilità disciplinare e amministrativo-contabile per i soggetti coinvolti.

Oltre a ciò, è previsto, mediante interpolazioni in altre normative di settore, che tutti i soggetti già in perimetro NIS (quindi coloro che dal 2019 si sono conformati alle istruzioni e regole in materia), in caso di segnalazioni puntuali dell’Agenzia per la Cybersicurezza nazionale circa specifiche vulnerabilità cui risultino esposti, debbano adottare i necessari interventi risolutivi entro 15 giorni.

Sul tema si prevedono, sempre per i soggetti in perimetro, particolari accortezze (da definirsi con DPCM) e premialità nelle procedure di affidamento di servizi ICT per l’uso di tecnologie nazionali, europee o di paesi NATO.

Il secondo capo della Legge Cybersecurity, invece, dispone modifiche sostanziali e procedurali riguardanti i reati informatici, che comportano un inasprimento sanzionatorio e che impattano anche ai fini dell’applicazione del D.lgs. n. 231/2001.

In particolare, l’art. 16 della Legge Cybersecurity prevede modifiche al Codice Penale, tra le quali si segnalano:

• l’aumento delle pene e/o l’introduzione di circostanze aggravanti per i reati informatici, tra i quali l’art. 615 ter c.p., l’art. 615 quater c.p., l’art. 617 bis c.p., l’art. 617 quater c.p., l’art. 617 quinquies c.p., l’art. 617 sexies c.p., l’art. 635 bis, l’art. 635 ter c.p., l’art. 635 quater c.p., l’art. 635 quinquies c.p., l’art. 640 c.p. e l’art. 640 quater c.p.;
• l’estensione delle fattispecie aggravate per i reati di accesso abusivo a un sistema informatico o telematico (art 615 ter c.p.) e di danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.), comprendendo anche l’uso di minaccia, la sottrazione o l’inaccessibilità dei dati e il caso di abuso da parte di pubblici ufficiali, incaricati di un pubblico servizio o investigatori privati;
• l’introduzione della nuova fattispecie di estorsione mediante reati informatici (art. 629, comma 3, c.p.), che sanziona la realizzazione del fatto estorsivo “mediante le condotte di cui agli articoli 615-ter, 617-quater c.p., 617-sexies c.p., 635-bis c.p., 635-quater c.p. e 635-quinquies c.p. ovvero con la minaccia di compierle”;
• l’abrogazione dell’art. 615 quinquies c.p. e l’introduzione dell’art. 635 quater.1, rubricato “Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”, che prevede pene rafforzate in caso di circostanze aggravanti rispetto all’abrogato art. 615 quinquies c.p..

In relazione alle modifiche apportate dalla Legge Cybersecurity al D.lgs. n. 231/2001 in materia di responsabilità amministrativa da reato degli enti, si segnalano:

• l’aumento delle sanzioni pecuniarie, in relazione ai reati informatici di cui all’art. 24-bis, co.1, d.lgs. n. 231/2001, il cui massimo diventa 700 quote;
• l’inserimento del comma 1 bis all’art. 24-bis del D.lgs. n. 231/2001, che prevede l’introduzione della nuova fattispecie di estorsione informatica (art. 629, comma 3, c.p.), quale nuovo reato presupposto per il quale è disposta anche l’applicazione di sanzioni interdittive di cui all’art. 9, comma 2, per una durata non inferiore a due anni;
• l’innalzamento della sanzione pecuniaria per gli enti in relazione ai reati informatici di cui all’art. 24-bis, co. 2, d.lgs. n.231/2001 e la sostituzione al comma 2 del riferimento all’art. 615 quinquies c.p. con il neo introdotto art. 635 quater.1 c.p..

Infine, tra le principali modifiche al Codice di Procedura Penale, si evidenziano:

• l’estensione del termine di durata massima delle indagini preliminari a 2 anni per i reati informatici (art. 407 c.p.p.);
• la concessione della proroga del termine per la conclusione delle indagini preliminari anche ai reati informatici (art. 406 c.p.p.).

In tema di visione ampliata della compliance giova ricordare che spesso queste condotte configurano anche una violazione dei dati personali prevista dall’art. 33 GDPR.

In conclusione, alla luce delle novità introdotte dalla Legge Cybersecurity, diventa opportuna (se non necessaria):

• la revisione delle procedure di gestione e classificazione degli incidenti (tenendo conto delle modifiche di cui al primo capo della legge in parola) per i soggetti in perimetro;
• la sensibilizzazione dei dipendenti in materia di cybersicurezza;
• la necessità, per tutti i soggetti dotati di Modelli di organizzazione, gestione e controllo di cui al D.lgs. n. 231/2001, di valutare e, se del caso, irrobustire le procedure che costituiscono protocolli preventivi rispetto ai reati informatici già contemplati dal D.lgs. n.231/01, ad esempio valutando la presenza di rigide misure di segregazione degli accessi logici che impediscano a soggetti non autorizzati di accedere e/o manomettere la strumentazione informatica. Sarà, inoltre, necessario considerare nei Modelli di prevenzione dei rischi di reato le nuove fattispecie introdotte quali reati presupposto, ove necessario, anche tramite un aggiornamento del risk assessment in modo da individuare eventuali ulteriori attività “sensibili” a tali fattispecie.