La Legge n. 90, 28 giugno 2024 (hinc “la Legge”), approvata dal Senato, il 19 giugno scorso, mira ad aumentate la sicurezza informatica per difendersi dagli attacchi cibernetici, introducendo sanzioni più pesanti per i reati commessi online. La norma rappresenta risposta concreta alle crescenti minacce cibernetiche che, soprattutto negli ultimi anni, hanno subito incremento esponenziale, sia in termini di frequenza che di sofisticazione.
Il testo definitivo, pubblicato in Gazzetta Ufficiale il 2 luglio 2024 entrerà in vigore il 17 luglio 2024; il testo è suddiviso in due capi: il primo introduce norme volte all’implementazione e allo sviluppo di misure di prevenzione e monitoraggio degli attacchi informatici imponendo un obbligo di segnalazione da parte di tutti gli operatori pubblici e privati inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC) oltre alle pubbliche amministrazioni; il capo secondo, invece, prevede inasprimento del trattamento sanzionatorio modificando le disposizioni del codice penale e di procedura penale e quelle in tema di responsabilità amministrativa da reato degli enti ex D. lgs.vo n. 231/2001.
Con particolare riguardo alle correzioni apportate al Codice penale, l’art. 16 della Legge sulla Cybersicurezza interviene sulla disciplina dell’accesso abusivo ad un sistema informatico, art. 615 ter c.p., raddoppiando le pene comminate per le aggravanti di cui ai commi 2 e 3 rispetto all’attuale formulazione (da uno a cinque anni a due a dieci anni di reclusione). La Legge ha altresì aggiunto una nuova fattispecie, al comma terzo dell’art. 629 c.p., il delitto di estorsione commesso mediante la perpetrazione o la minaccia di perpetrazione di delitti informatici (cd. cyber extortion), al fine di contrastare il fenomeno, sempre più diffuso, dei ransomware perpetrati in danno delle imprese per ottenere dalle vittime ingenti somme di denaro. Tra le novità più rilevanti della riforma anche l’introduzione di circostanze attenuanti che consentono una riduzione della pena per fatti di lieve entità ovvero nei casi in cui il reo si adoperi affinché l’attività delittuosa non sia portata a conseguenze ulteriori collaborando con le Autorità.
L’articolo 17, rubricato “modifiche al codice di procedura penale”, specifica che la competenza per lo svolgimento delle indagini è attribuita alla procura distrettuale e la durata massima delle indagini preliminari è pari a 2 anni. Sul fronte della responsabilità da reato degli enti, l’art. 20 Legge 90/2024 ha modificato la cornice edittale prevista dall’art. 24 bis D. lgs. 231/2001 introducendo tra i reati presupposto la nuova fattispecie di estorsione di cui all’art. 629, comma 3, c.p. e prevedendo l’applicazione delle sanzioni interdittive ex art. 9, comma 2, d. lgs. 231/2001, ad esempio l’interdizione dall’esercizio dell’attività, la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito, l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi per una durata non inferiore ai due anni.