Cybercrime e attacchi informatici : i numeri del report IOCTA 2024

Cybercrime e attacchi informatici : i numeri del report IOCTA 2024

Negli ultimi anni, l’evoluzione del cybercrime ha assunto una dimensione sempre più preoccupante, evidenziando la necessità di una risposta globale coordinata da parte delle istituzioni e delle forze dell’ordine. Internet Organised Crime Threat Assessment (IOCTA) 2024, redatto da Europol, offre un’analisi approfondita delle principali minacce che hanno colpito l’Unione Europea nel 2023.

Questo report, giunto alla sua decima edizione, rappresenta uno strumento fondamentale per comprendere come il cybercrime si sia adattato alle nuove tecnologie e alle crescenti complessità dei sistemi informatici, esponendo aziende, istituzioni e privati cittadini a rischi sempre maggiori. Tra le minacce più rilevanti identificate nel rapporto, si evidenziano l’uso illecito delle criptovalute, l’aumento degli attacchi ransomware e la proliferazione di contenuti di sfruttamento sessuale dei minori online. Questo articolo si propone di illustrare i principali risultati del IOCTA 2024, con un focus sulle tendenze emergenti e le prospettive future in materia di cybercrime, con particolare attenzione agli aspetti giuridici e normativi connessi ai reati informatici.

In questo breve articolo passeremo in rassegna ciascuna di queste voci, così da dare al lettore un quadro chiaro dei più recenti sviluppi del crybercrime.

Valute virtuali e dark-web. I fattori di crescita del cybercrime

Le criptovalute e il dark web rappresentano due elementi centrali nel panorama del crimine informatico moderno, fungendo da strumenti indispensabili per consentire e facilitare un’ampia gamma di attività illecite. Il report IOCTA 2024 di Europol evidenzia come questi strumenti siano ormai essenziali per i cybercriminali, fornendo loro mezzi per operare con un alto grado di anonimato e sicurezza, riducendo le possibilità di identificazione. In particolare, l’uso delle criptovalute, come il Bitcoin e le altcoins come Monero, è cresciuto in modo esponenziale nei crimini di natura finanziaria, con una particolare prevalenza nelle attività di riciclaggio di denaro e finanziamento del terrorismo.

La capacità delle criptovalute di essere trasferite rapidamente e senza il bisogno di intermediari finanziari tradizionali, rende estremamente difficile per le autorità di contrasto rintracciare i flussi di denaro criminali, soprattutto quando queste operazioni avvengono su reti decentralizzate e con l’utilizzo di servizi anonimi.

Il Bitcoin resta la criptovaluta maggiormente utilizzata nel contesto criminale, soprattutto nelle operazioni di estorsione legate ai ransomware, dove i malintenzionati richiedono il pagamento in criptovalute per decriptare i dati delle vittime. Tuttavia, il report sottolinea che sempre più spesso i criminali informatici ricorrono anche ad altcoins come Monero, caratterizzate da una maggiore opacità e da funzionalità di anonimizzazione avanzate, rendendo ancora più difficile il lavoro delle forze dell’ordine.

Nonostante ciò, l’adozione di regolamentazioni più stringenti all’interno dell’Unione Europea, come il quadro normativo che impone obblighi di trasparenza ai crypto-asset service providers (CASPs), ha migliorato la cooperazione tra le autorità investigative e i fornitori di servizi criptovalutari, incrementando il controllo su queste transazioni.

Parallelamente, il dark web continua a fungere da piattaforma chiave per lo scambio di beni e servizi illeciti. Attraverso l’uso di reti come Tor, i criminali possono comprare e vendere dati rubati, strumenti di hacking, malware e altro materiale illegale, tra cui contenuti di abuso sessuale su minori. Nonostante i recenti successi delle operazioni delle forze dell’ordine, come la chiusura del Monopoly Market da parte della polizia tedesca, la frammentazione del dark web rende difficile un contrasto efficace a lungo termine. I marketplace criminali, infatti, sono sempre più volatili e tendono a chiudere e riaprire sotto nomi diversi, spesso attraverso mirror sites che ripristinano rapidamente l’attività illecita in nuove location virtuali.

La combinazione tra criptovalute e dark web ha favorito lo sviluppo di un vero e proprio ecosistema criminale, in cui il cybercrime-as-a-service prospera, fornendo a malintenzionati di ogni livello strumenti tecnologici sempre più sofisticati per compiere crimini informatici. Contrastare l’uso illecito di questi strumenti rappresenta una delle principali sfide che i governi e le forze dell’ordine dovranno affrontare negli anni a venire, nel tentativo di ridurre l’impatto devastante del cybercrime sull’economia e sulla sicurezza pubblica.

Cybercrime e attacchi informatici: statiche ed evoluzione del fenomeno

Gli attacchi informatici sono, secondo Europol, uno dei fenomeni più pervasivi e distruttivi del panorama del cybercrime, con un impatto significativo sulle infrastrutture critiche, sulle aziende e sui privati cittadini. Il report IOCTA 2024 evidenzia come il 2023 sia stato caratterizzato da un aumento degli attacchi informatici, in particolare quelli legati al modello del ransomware-as-a-service (RaaS). Questo modello consente a gruppi di criminali informatici di “affittare” strumenti di ransomware a soggetti meno esperti, democratizzando di fatto l’accesso a queste tecnologie distruttive. Il ransomware è diventato uno degli strumenti più potenti nelle mani dei cybercriminali, i quali sfruttano le vulnerabilità delle infrastrutture informatiche per criptare i dati delle vittime e chiedere un riscatto in cambio della loro decriptazione.

Uno degli aspetti più preoccupanti che emerge dal report è la crescente specializzazione dei criminali informatici. Alcuni affiliati ai gruppi ransomware, ad esempio, si concentrano esclusivamente sul guadagnare accesso iniziale ai sistemi di grandi aziende e infrastrutture critiche, per poi vendere tale accesso ad altri criminali specializzati in ransomware. Questo sistema frammentato e altamente specializzato rende estremamente difficile il contrasto da parte delle forze dell’ordine, poiché i vari attori operano in modo isolato, minimizzando le possibilità di essere identificati.

Il report sottolinea come i gruppi ransomware tendano a colpire con sempre maggiore frequenza le piccole e medie imprese, che rappresentano il bersaglio ideale a causa delle loro difese informatiche generalmente meno sofisticate. Tuttavia, gli attacchi non risparmiano neanche le grandi organizzazioni, specialmente nel settore sanitario, manifatturiero e delle infrastrutture critiche. Questi attacchi causano gravi danni economici, paralizzano le operazioni aziendali e, in alcuni casi, mettono a rischio la vita delle persone, come è stato dimostrato da attacchi contro ospedali e reti di distribuzione energetica.

Un altro trend evidenziato nel IOCTA 2024 è l’uso sempre più sofisticato di tecniche di estorsione multilivello. Non si tratta più solo di criptare i dati delle vittime, ma anche di rubarli e minacciare di pubblicarli online in caso di mancato pagamento del riscatto. Questa doppia pressione aumenta le probabilità di successo per i criminali, poiché le vittime, temendo ripercussioni sulla propria reputazione o sanzioni legali, sono più inclini a pagare il riscatto.

Il report sottolinea inoltre come la frammentazione del panorama ransomware sia stata accentuata dalle recenti operazioni delle forze dell’ordine, che hanno portato allo smantellamento di gruppi come Conti e LockBit. Tuttavia, queste operazioni non hanno fermato il fenomeno, bensì hanno portato alla riorganizzazione di questi gruppi sotto nuovi nomi, spesso con tecnologie e metodi ancora più sofisticati. La crescita del ransomware-as-a-service e l’uso crescente di strumenti di intelligenza artificiale per migliorare l’efficacia degli attacchi rendono chiaro che i cyber-attacchi continueranno a evolvere, rappresentando una delle principali minacce alla sicurezza globale.

Reati di pedopornografia. Un fenomeno in continua evoluzione

Uno dei fenomeni più allarmanti descritti nel IOCTA 2024 è l’aumento costante dei casi di sfruttamento sessuale dei minori online (Child Sexual Exploitation, CSE). Secondo Europol, il volume di contenuti illegali, noti come Child Sexual Abuse Material (CSAM), è in crescita, e una parte significativa di questo materiale è auto-generato dalle stesse vittime, spesso sotto coercizione o sfruttamento da parte di predatori online. Gli aggressori, infatti, utilizzano tecniche di grooming per guadagnare la fiducia dei minori, inducendoli a condividere materiale sessualmente esplicito, che viene poi utilizzato come mezzo per estorcere ulteriori contenuti o denaro.

L’uso di piattaforme di comunicazione criptata, come le applicazioni con end-to-end encryption (E2EE), ha complicato notevolmente il lavoro delle forze dell’ordine, poiché tali strumenti rendono estremamente difficile il monitoraggio delle attività illegali e la raccolta di prove. Questi canali vengono ampiamente utilizzati non solo per lo scambio di materiale pedopornografico, ma anche per la comunicazione e la pianificazione tra i membri delle reti criminali. Le indagini sono ulteriormente ostacolate dalla crescente presenza di tecnologie basate sull’intelligenza artificiale, che consentono la creazione di CSAM completamente generato artificialmente, rendendo ancora più complesso distinguere il materiale reale da quello prodotto con strumenti digitali.

Un altro fenomeno particolarmente preoccupante è l’estorsione sessuale dei minori, spesso perpetrata con finalità sia sessuali che economiche. I criminali minacciano di diffondere immagini esplicite delle vittime a meno che non vengano soddisfatte le loro richieste, costringendo così i minori a produrre nuovi contenuti o a pagare somme di denaro.

Il IOCTA 2024 lancia un avvertimento chiaro: la proliferazione del materiale di sfruttamento sessuale dei minori online non mostra segni di rallentamento, e l’uso di tecnologie sempre più sofisticate da parte dei cybercrime actors rende cruciale un potenziamento delle capacità investigative delle forze dell’ordine per affrontare questa tipologia di cybercrime in continua evoluzione.

Truffe e frodi informatiche. Le ultime frontiere del cybercrime.

Le frodi online e le truffe legate ai pagamenti rappresentano – secondo Europol –  una delle minacce più rilevanti nel contesto del cybercrime, con un numero sempre crescente di vittime e perdite economiche significative. Il IOCTA 2024 evidenzia come questi schemi fraudolenti si stiano evolvendo rapidamente, diventando sempre più sofisticati e difficili da individuare.

Tra le truffe più comuni, il phishing rimane uno dei vettori d’attacco più utilizzati, colpendo tanto i privati quanto le aziende. Il phishing, che consiste nell’inganno tramite email o messaggi di testo per rubare informazioni sensibili come credenziali di accesso o dati bancari, ha visto un’evoluzione significativa con l’introduzione del phishing-as-a-service. Questo modello permette a criminali meno esperti di acquistare o affittare kit di phishing preconfigurati, riducendo così la barriera di ingresso per commettere questa tipologia di cybercrime.

Tra le nuove varianti di phishing, il smishing (phishing via SMS) e il quishing (phishing tramite codici QR) hanno registrato un aumento, dimostrando come i criminali sappiano adattarsi alle abitudini degli utenti e sfruttare nuove tecnologie. Anche l’uso dell’intelligenza artificiale sta rivoluzionando questo ambito, permettendo ai criminali di creare email di phishing sempre più convincenti e personalizzate, rendendo ancora più difficile per le vittime distinguere un messaggio fraudolento da uno legittimo.

Un altro schema di frode particolarmente diffuso è la compromissione delle email aziendali, nota come Business Email Compromise (BEC), che sfrutta tecniche di ingegneria sociale per indurre i dipendenti a effettuare pagamenti fraudolenti o trasferire fondi su conti controllati dai criminali. Questo tipo di financial cybercrime ha causato perdite enormi per le imprese, in particolare le piccole e medie imprese che non dispongono di sofisticati sistemi di sicurezza informatica. Anche le truffe romantiche (romance fraud), benché meno visibili a causa del basso tasso di denuncia, continuano a mietere vittime. Questi schemi truffaldini sfruttano il desiderio di affetto e la fiducia delle persone per estorcere denaro in modo subdolo.

Le frodi legate agli investimenti rappresentano un altro settore in forte crescita, con l’uso delle criptovalute che continua a essere una componente centrale di questi schemi. I criminali utilizzano piattaforme di investimento false o truffaldine per attrarre le vittime, promettendo rendimenti elevati, e poi svanendo con i fondi raccolti. Il report evidenzia come molti di questi schemi siano supportati da Remote Administration Tools (RATs), che permettono ai truffatori di prendere il controllo dei dispositivi delle vittime per monitorare e manipolare le loro transazioni.

Il IOCTA 2024 sottolinea che la crescente disponibilità di servizi illegali sul dark web, come il phishing-as-a-service e il malware-as-a-service, ha reso le frodi online e i sistemi di pagamento un terreno fertile per i cybercriminali. La collaborazione internazionale tra le forze dell’ordine e le aziende private sarà cruciale per ridurre l’impatto del cybercrime, proteggendo i consumatori e le imprese dalle perdite finanziarie e dal furto di dati personali.

Cybercrime e cyber-attacchi. Uno sguardo al futuro

Il report IOCTA 2024 si conclude con uno sguardo proiettato al futuro, evidenziando come il cybercrime non solo continuerà a crescere, ma diventerà sempre più sofisticato. Tra le principali previsioni, Europol individua un’ulteriore diffusione dell’uso di tecnologie basate sull’intelligenza artificiale nel contesto criminale. Gli strumenti di machine learning e deep learning stanno già consentendo ai cybercriminali di migliorare significativamente le loro tecniche di ingegneria sociale, rendendo le frodi, i tentativi di phishing e le truffe online ancora più difficili da individuare. Si prevede che l’uso di large language models (LLM) da parte dei criminali si espanderà ulteriormente, permettendo loro di personalizzare le truffe in modo da renderle ancora più convincenti.

Un altro aspetto critico del panorama futuro riguarda la crescente frammentazione del mercato del ransomware. Mentre alcune operazioni sono state smantellate dalle forze dell’ordine, i cybercrime actors si stanno riorganizzando sotto nuove forme, sviluppando varianti di ransomware sempre più difficili da attribuire e contrastare. La proliferazione del ransomware-as-a-service (RaaS), insieme alla crescente capacità dei criminali di utilizzare exploit di zero-day e altre vulnerabilità avanzate, preannuncia un ulteriore incremento degli attacchi mirati alle piccole e medie imprese, che spesso non dispongono delle risorse per difendersi efficacemente.

Inoltre, l’uso delle criptovalute continuerà a rappresentare una sfida fondamentale per le forze dell’ordine. Sebbene siano state adottate nuove normative che impongono una maggiore trasparenza e cooperazione da parte dei fornitori di servizi legati alle criptovalute, i criminali stanno rapidamente cercando di aggirare tali restrizioni, utilizzando altcoins e strumenti di anonimizzazione sempre più sofisticati. Il futuro del crimine informatico vedrà probabilmente un incremento del ricorso a criptovalute più difficili da tracciare, oltre a una maggiore integrazione tra piattaforme del dark web e mercati finanziari criminali.

Infine, il report prevede una crescita significativa dei crimini legati al child sexual exploitation (CSE), in particolare a causa dell’aumento di contenuti di abuso sessuale generati o alterati con l’uso dell’intelligenza artificiale. Questo crea nuove sfide legali e investigative, poiché sarà sempre più complesso distinguere tra materiale reale e contenuti artificialmente generati.

In questo contesto di minacce in costante evoluzione, la preparazione diventa fondamentale. Lo Studio Legale D’Agostino si propone come un partner strategico per imprese e istituzioni, offrendo consulenza legale specializzata nella prevenzione e nella gestione dei rischi legati ai crimini informatici. Garantire la conformità alle normative vigenti e implementare solide strategie di cybersicurezza sono le prime linee di difesa contro un panorama criminale sempre più insidioso.

Per scaricare il report IOCTA di Europol clicca: qui

Sulla recente riforma in materia di cybercrime, rinviamo al nostro recente: articolo

Notifica di incidenti informatici e referente per la cybersicurezza. Adempimenti fondamentali della Legge 90/2024

Notifica di incidenti informatici e referente per la cybersicurezza. Adempimenti fondamentali della Legge 90/2024

La Legge n. 90/2024, anche nota come Legge sulla Cybersicurezza, introduce rilevanti novità in materia, imponendo una serie di obblighi in capo alle pubbliche amministrazioni e alle imprese che operano in settori strategici. Tale normativa si inserisce in un contesto giuridico che mira a rafforzare la resilienza cibernetica nazionale, e rappresenta uno dei tasselli di un mosaico complesso (specialmente a seguito dell’emanazione del D. Lgs. 138/2024).

La Legge in commento è strutturata in due capi. Per quel che qui interessa il Capo I introduce misure per il rafforzamento della cybersicurezza, imponendo obblighi specifici alle pubbliche amministrazioni, quali l’obbligo di notifica degli incidenti informatici e la nomina di un referente per la cybersicurezza. Queste disposizioni mirano a rendere più sicure le infrastrutture digitali critiche, aumentando la capacità di risposta e prevenzione agli attacchi cibernetici. Non tratteremo invece del Capo II che apporta modifiche significative al codice penale e al codice di procedura penale (sul punto di rinviamo al nostro precedente approfondimento).

L’articolo che segue intende analizzare le principali disposizioni della legge, evidenziando gli impatti operativi che questa comporta per le pubbliche amministrazioni e le imprese coinvolte, offrendo al contempo un quadro chiaro delle misure necessarie per assicurare la conformità alla normativa e prevenire possibili sanzioni.

Gli obblighi in capo alle P.A. e i compiti di ACN

Gli obblighi in capo alle P.A. sono radicalmente mutati a seguito della promulgazione della Legge n. 90 del 2024, che introduce obblighi specifici di notifica degli incidenti informatici.

Ai sensi dell’art. 1 della Legge, le pubbliche amministrazioni centrali, Regioni, Province autonome, Comuni con popolazione superiore a 100.000 abitanti, città metropolitane, società di trasporto pubblico urbano ed extraurbano con bacino superiore a 100.000 abitanti, aziende sanitarie locali e società di gestione delle acque reflue e dei rifiuti sono soggetti all’obbligo di notifica. Questi enti devono segnalare entro 24 ore dall’accertamento, tramite il sito dell’Agenzia per la Cybersicurezza Nazionale (ACN), ogni incidente che rientra nella tassonomia definita dal D.L. 105/2019; entro 72 ore dalla segnalazione, è richiesta una notifica completa di tutti gli elementi rilevanti dell’incidente stesso.

In caso di inosservanza, l’ACN può intervenire con un primo avviso, segnalando che la reiterazione del comportamento nell’arco di cinque anni comporterà ulteriori sanzioni, comprese ispezioni mirate per verificare l’attuazione delle misure correttive. Se le violazioni si ripetono, l’Agenzia può imporre sanzioni amministrative pecuniarie che variano tra 25.000 e 125.000 euro, oltre alla responsabilità disciplinare e amministrativo-contabile per i dirigenti e funzionari coinvolti.

Ai sensi dell’art. 2 della L. 90/2024 gli enti pubblici (e le società private ad essi equiparate) devono adottare, entro 15 giorni, gli interventi risolutivi richiesti dall’Agenzia per la Cybersicurezza Nazionale (ACN) nel caso in cui vengano segnalate vulnerabilità nei loro sistemi informatici. In pratica, l’Agenzia potrà segnalare la presenza di vulnerabilità nei sistemi di questi enti e inviare loro una segnalazione specifica; gli enti avranno quindi l’obbligo di adottare rapidamente le misure necessarie per risolvere la questione. In caso contrario l’ACN potrà applicare sanzioni amministrative entro i limiti edittali sopra indicati.

In tal modo il legislatore ha inteso assicurare una risposta rapida e coordinata per eliminare vulnerabilità, che potrebbero compromettere la sicurezza cibernetica dei sistemi utilizzati dalle PA e dai soggetti critici.

Infine, la  novella ha previsto l’istituzione, all’interno dell’organigramma delle P.A., di una struttura interna dedicata e la nomina di un referente per la cybersicurezza.

Più precisamente, le amministrazioni individuate all’articolo 1, comma 1, della Legge sono tenute a identificare una struttura, anche tra quelle già esistenti, all’interno delle risorse umane, strumentali e finanziarie disponibili. Questa struttura assume un ruolo centrale nello sviluppo di politiche e procedure volte a garantire la sicurezza delle informazioni. Tra i suoi compiti principali vi è la redazione e l’aggiornamento continuo di un sistema di analisi preventiva per il rilevamento delle minacce informatiche e di un piano di gestione dei rischi connessi.

Inoltre, la struttura è chiamata a produrre un documento che definisca i ruoli e l’organizzazione del sistema di sicurezza delle informazioni dell’amministrazione, assicurando così una chiara distribuzione delle responsabilità. È altresì prevista l’elaborazione di un piano programmatico per la protezione di dati, sistemi e infrastrutture informatiche.

A questo si affianca l’impegno a pianificare e attuare interventi mirati al potenziamento delle capacità di gestione dei rischi informatici, in coerenza con i piani precedentemente adottati. Un aspetto fondamentale è la necessità di conformarsi alle misure indicate nelle linee guida emanate dall’Agenzia per la Cybersicurezza Nazionale, garantendo un allineamento costante con gli standard nazionali di sicurezza. L’attività di monitoraggio continuo delle minacce e delle vulnerabilità riveste un ruolo cruciale, consentendo un aggiornamento tempestivo delle misure di sicurezza.

Presso questa struttura opera il referente per la cybersicurezza, una figura scelta sulla base di comprovate competenze e professionalità nel settore. Tale figura non solo è responsabile della sicurezza informatica all’interno dell’amministrazione, ma funge anche da punto di contatto unico con l’Agenzia per la Cybersicurezza Nazionale, garantendo così un dialogo costante e diretto con l’ente nazionale preposto alla gestione delle questioni di cybersicurezza.

Infine, la legge attribuisce all’Agenzia per la Cybersicurezza Nazionale il potere di individuare modalità di coordinamento e collaborazione tra le diverse amministrazioni e i referenti per la cybersicurezza, con l’obiettivo di rafforzare ulteriormente la resilienza del settore pubblico. Tuttavia, l’articolo esclude dall’applicazione delle sue disposizioni alcune categorie di soggetti, come gli enti già disciplinati dal D.L. 105/2019 e gli organi dello Stato preposti alla difesa, alla sicurezza militare, alla prevenzione e alla repressione dei reati, nonché gli organismi di informazione per la sicurezza.

Consulenza legale cybersicurezza Avv. Luca D'Agostino Roma

Esperto legale in cybersicurezza. Affida allo Studio Legale D’Agostino a Roma la consulenza per l’adempimento degli obblighi in materia di Cyber Security.

Da quando decorre l’obbligo di notifica degli incidenti? Cosa notificare?

L’obbligo di notifica degli incidenti informatici, introdotto dall’art. 1 della Legge n. 90 del 2024, si estende agli incidenti, come definiti dall’art. 1, comma 3-bis del D.L. n. 105 del 2019, che, a sua volta, richiama la definizione contenuta nell’art. 1, comma 1, lett. h) del DPCM n. 81 del 2021.

Il combinato disposto di queste disposizioni impone ai destinatari della Legge n. 90 di notificare ogni evento che determini il malfunzionamento, l’interruzione, anche parziale, o l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici, sia esso di natura accidentale o intenzionale. Si tratta di una nozione di “incidente” particolarmente ampia, che copre una vasta gamma di eventi potenzialmente lesivi del corretto funzionamento delle infrastrutture informatiche.

Tale concetto di incidente, così come delineato dalla Legge n. 90 del 2024, si distingue dalla nozione di “incidente” contenuta nella direttiva NIS 2 e nel D. Lgs. n. 138 del 2024. Quest’ultimo, infatti, definisce l’incidente come “un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi”.

La differenza fondamentale tra le due definizioni risiede nell’ampiezza della nozione prevista dalla Legge n. 90, che include anche situazioni di utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici, ipotesi che, seppur non sempre riconducibili a veri e propri attacchi informatici, possono comunque determinare conseguenze rilevanti per il funzionamento delle infrastrutture critiche.

Tale differenza è di particolare rilievo, soprattutto in relazione al contesto delle pubbliche amministrazioni o degli enti soggetti all’applicazione della Legge n. 90 del 2024. Un esempio significativo di queste condotte improprie è rappresentato dall’accesso abusivo a un sistema informatico, disciplinato dall’art. 615-ter del codice penale, per il quale esiste un vasto filone giurisprudenziale. Anche una semplice anomalia o un utilizzo improprio delle risorse informatiche potrebbe far scattare l’obbligo di notifica per l’ente, rendendo necessaria una segnalazione tempestiva all’Agenzia per la Cybersicurezza Nazionale (ACN).

Un altro aspetto fondamentale da tenere in considerazione è l’approssimarsi del termine di efficacia delle disposizioni relative all’obbligo di notifica per alcune categorie specifiche di soggetti. In particolare, le disposizioni troveranno applicazione, a partire dal 13 gennaio 2025, per i comuni con popolazione superiore a 100.000 abitanti, i comuni capoluoghi di regione, le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nelle città metropolitane, le aziende sanitarie locali, nonché le società in house che forniscono servizi informatici o di trasporto.

Questi enti dovranno quindi predisporre tutte le misure necessarie per adempiere all’obbligo di notifica entro tale data, per evitare di incorrere nelle conseguenze sanzionatorie previste dalla legge. Per contro, l’obbligo di notifica degli incidenti è già attualmente efficace per le amministrazioni centrali dello Stato, le regioni, le province autonome e le città metropolitane.

Infine, occorre sottolineare che la Legge n. 90 del 2024 prevede, in caso di reiterata inosservanza dell’obbligo di notifica, l’applicazione di sanzioni pecuniarie nei confronti dell’ente inadempiente. Tuttavia, le conseguenze non si limitano all’aspetto economico. La reiterata inosservanza può infatti costituire anche una causa di responsabilità disciplinare e amministrativo-contabile in capo ai funzionari e ai dirigenti responsabili dell’omessa notifica, ampliando così il regime di responsabilità connesso alla gestione degli incidenti informatici all’interno delle pubbliche amministrazioni e delle società coinvolte. Questa previsione mira a garantire una maggiore diligenza nell’adempimento di un obbligo che riveste un ruolo cruciale per la tutela della cybersicurezza e del corretto funzionamento delle infrastrutture informatiche nazionali.

Conclusioni

In conclusione, la Legge n. 90 del 2024 segna un importante passo avanti nella tutela della cybersicurezza nazionale, introducendo un sistema di obblighi che coinvolge direttamente le pubbliche amministrazioni e le imprese operanti in settori strategici. L’obbligo di notifica degli incidenti informatici, unito alla previsione di sanzioni significative in caso di mancata conformità, è volto a garantire una risposta tempestiva ed efficace alle minacce cibernetiche. La definizione di “incidente” è stata ampliata rispetto a quella contenuta nella direttiva NIS 2, includendo anche l’utilizzo improprio dei sistemi informatici, evidenziando la necessità di un controllo più stringente e una superficie di situazioni da notificare davvero ampia.

Un altro elemento cruciale della normativa è l’obbligo di nomina di un referente per la cybersicurezza all’interno delle amministrazioni e delle imprese coinvolte. Tale figura riveste un ruolo centrale nell’assicurare la corretta attuazione delle politiche di sicurezza informatica e nel dialogo con l’Agenzia per la Cybersicurezza Nazionale, garantendo una gestione efficace degli incidenti e una conformità continua alle disposizioni normative.

La conformità a questi obblighi richiede un’attenta pianificazione e competenze specifiche, e rappresenta una sfida complessa per le realtà coinvolte. Lo Studio Legale D’Agostino è a disposizione per offrire supporto legale e consulenza specializzata nella delicata attività di compliance alla normativa, assistendo sia le pubbliche amministrazioni che le imprese nella gestione degli obblighi di notifica, nella nomina del referente per la cybersicurezza e nell’attuazione delle misure di sicurezza richieste.

Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex

Tablet con grafiche di sicurezza informatica e riferimento al Decreto NIS 2, studio legale a Roma specializzato in consulenza cyber security, incidenti e vulnerabilità

Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2, gestione del rischio e incidenti informatici

I reati informatici nella Legge sulla cybersicurezza n. 90/2024. Un notevole esempio di repressione penale

I reati informatici nella Legge sulla cybersicurezza n. 90/2024. Un notevole esempio di repressione penale

Negli ultimi mesi, la Legge n. 90 del 2024, comunemente definita “Legge sulla cybersicurezza”, è stata oggetto di numerose interpretazioni fuorvianti, spesso amplificate dalla diffusione di fake news. Alcune voci, prive di fondamento, hanno sostenuto che la normativa equiparasse i reati informatici a quelli mafiosi, creando confusione circa la reale portata della riforma.

Altri ancora hanno erroneamente affermato che la legge abbia abolito la fattispecie di reato legata alla diffusione di malware, senza dar conto della corrispondente introduzione di una nuova fattispecie nel sistema repressivo del danneggiamento informatico.

La Legge in commento è strutturata in due capi. Il Capo I introduce misure per il rafforzamento della cybersicurezza, imponendo obblighi specifici alle pubbliche amministrazioni, quali l’obbligo di notifica degli incidenti informatici e la nomina di un referente per la cybersicurezza. Queste disposizioni mirano a rendere più sicure le infrastrutture digitali critiche, aumentando la capacità di risposta e prevenzione agli attacchi cibernetici.

Il Capo II, invece, incide direttamente sugli strumenti repressivi a disposizione dell’ordinamento, apportando modifiche significative al codice penale (in specie ai reati informatici) e al codice di procedura penale. Questi interventi ampliano la gamma delle condotte punibili e, soprattutto, inaspriscono le pene per i responsabili di crimini informatici, con l’obiettivo di rendere più efficace la lotta al cybercrime.

L’articolo che segue si propone di analizzare e commentare le principali novità introdotte dalla Legge n. 90/2024 sul fronte sostanziale (con particolare riferimento ai reati informatici) e processuale, con l’intento di chiarire l’effettiva portata della riforma; in un successivo approfondimento ci occuperemo invece delle disposizioni del Capo I relativi alle Pubbliche Amministrazioni.

Modifiche al codice penale e ai reati informatici

La Legge n. 90/2024 ha introdotto rilevanti modifiche al codice penale in materia di reati informatici, con l’obiettivo di rafforzare il trattamento sanzionatorio e di inasprire le pene per le condotte illecite nel cyberspazio. Una delle principali novità riguarda l’inasprimento delle pene previste per il reato di accesso abusivo a sistemi informatici o telematici, di cui all’art. 615-ter c.p.

Le ipotesi aggravate, in particolare, prevedono ora una reclusione da due a dieci anni, ulteriormente innalzata da quattro a dodici anni nel caso in cui la condotta illecita sia rivolta contro sistemi di interesse pubblico. Inoltre, è esteso il perimetro dell’aggravante per quelle condotte che, oltre al danneggiamento o distruzione dei sistemi, provocano la sottrazione, riproduzione, trasmissione o l’inaccessibilità ai dati e ai programmi in essi contenuti.

La novella ha altresì ampliato il dolo specifico richiesto per il reato previsto all’art. 615-quater c.p., che ora contempla, in luogo del profitto, il concetto più generico di “vantaggio”. È stato introdotto un terzo comma che prevede una pena più severa, da tre a otto anni di reclusione, per le condotte che riguardano sistemi di interesse pubblico. In questo modo, il legislatore ha voluto rafforzare la tutela di infrastrutture critiche contro i reati informatici, rendendo estremamente seria la risposta sanzionatoria per un reato che,  nella sua forma base, ha un trattamento sanzionatorio piuttosto indulgente.

Tra le modifiche ai reati informatici, altra importante novità riguarda l’art. 617-bis c.p., relativo alla detenzione, diffusione e installazione abusiva di apparecchiature e mezzi atti a intercettare, impedire o interrompere comunicazioni. In questo caso, sono state introdotte nuove aggravanti per punire in modo più severo le condotte commesse da pubblici ufficiali, incaricati di pubblico servizio o da operatori di sistema, con pene più alte qualora le condotte siano rivolte contro sistemi di interesse pubblico.

Anche l’art. 617-quater c.p., che disciplina l’intercettazione illecita di comunicazioni informatiche o telematiche, è stato oggetto di modifiche, con un inasprimento delle pene e l’introduzione di aggravanti analoghe, rafforzando così la repressione delle condotte lesive della sicurezza delle comunicazioni digitali.

Significativa è l’introduzione dell’art. 623-quater c.p., che prevede una nuova circostanza attenuante speciale per reati informatici di lieve entità. Tale attenuante si applica nei casi in cui il danno o il pericolo risultino di particolare tenuità. Consente poi una diminuzione delle pene comminate fino a due terzi nel caso in cui l’autore del reato si adoperi concretamente per evitare conseguenze ulteriori, collaborando con le autorità nella raccolta di prove o nel recupero dei proventi illeciti. Questo istituto tempera il rigore sanzionatorio, permettendo una riduzione delle pene per i reati minori e per coloro che cooperano con la giustizia.

La Legge n. 90 del 2024 ha anche introdotto il nuovo reato di estorsione informatica, disciplinata dal terzo comma dell’art. 629 c.p. Tale reato punisce con la reclusione da sei a dodici anni, e con la multa, chiunque, mediante accesso abusivo, intercettazioni, danneggiamento di dati o sistemi informatici, o minacciando di compiere tali condotte, costringa qualcuno a fare o omettere qualcosa, procurando a sé o ad altri un ingiusto profitto con altrui danno.

Questa nuova fattispecie – che idealmente può essere inserita tra i reati informatici – si pone come risposta normativa al fenomeno crescente dell’estorsione informatica mediante ransomware, prevedendo un trattamento sanzionatorio particolarmente severo per tali condotte. Si tratta di una fattispecie autonoma di reato, che lascia adito ad alcuni dubbi sulla disciplina applicabile ex art. 2 c.p. (in particolare se alcune delle condotte descritte dalla norma potessero considerarsi reato in base alla legge previgente).

La riforma ha investito anche i reati informatici di danneggiamento logico e fisico, per i quali sono stati innalzati i limiti di pena e introdotte nuove aggravanti, con particolare riferimento alle condotte commesse da pubblici ufficiali, incaricati di pubblico servizio o operatori di sistema. Anche il reato di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico ha subito modifiche significative. L’art. 615-quinquies c.p. è stato abrogato, e la fattispecie è stata inserita nel nuovo art. 635-quater.1 c.p.

Nonostante non muti la sostanza del reato, la collocazione sistematica è sicuramente più opportuna; inoltre sono state introdotte nuove aggravanti per punire più severamente le condotte commesse da soggetti con qualifiche pubblicistiche o relative a sistemi di interesse pubblico. Vale anche in questo caso la considerazione pocanzi svolta a proposito delle aggravanti del reato di cui all’art. 615-quater c.p.

Per temprare il rigore delle nuove sanzioni, la Legge n. 90/2024 ha introdotto una nuova circostanza attenuante all’art. 639-ter c.p., che prevede la diminuzione delle pene per i reati di estorsione informatica e per il danneggiamento di sistemi informatici, qualora il fatto risulti di lieve entità. Come per l’art. 623-quater c.p., è prevista una riduzione delle pene fino a due terzi per coloro che collaborano attivamente con le autorità per evitare conseguenze ulteriori del reato o per favorire il recupero dei proventi delittuosi.

Infine, nel contesto dell’art. 640 c.p., è stata introdotta una nuova aggravante per la “truffa via web”, disciplinata dal nuovo comma 2-ter dell’art. 640 c.p. Questo prevede un aumento della pena per le truffe commesse a distanza mediante strumenti informatici o telematici, idonei a ostacolare l’identificazione del colpevole. Tuttavia, nonostante l’aggravamento del trattamento sanzionatorio, la procedibilità d’ufficio per questa fattispecie non è prevista, richiedendo quindi la presentazione di querela da parte della persona offesa per l’avvio del procedimento penale.

Quanto alla responsabilità da reato dell’ente, l’art. 19 della Legge n. 90 del 2024 introduce significative modifiche all’art. 24-bis del Decreto Legislativo 8 giugno 2001, n. 231. Le modifiche riguardano, in particolare, l’inasprimento delle sanzioni pecuniarie.

Il comma 1 dell’art. 24-bis, infatti, viene modificato prevedendo un aumento delle sanzioni, che passano da un minimo di cento a cinquecento quote, a un nuovo intervallo compreso tra duecento e settecento quote. Tale aumento è finalizzato a intensificare l’impatto economico delle sanzioni in capo agli enti responsabili di tali condotte illecite.

Un’ulteriore rilevante novità è rappresentata dall’introduzione del nuovo comma 1-bis, il quale prevede l’applicazione di una sanzione pecuniaria, variabile da trecento a ottocento quote, in caso di commissione del reato di estorsione informatica, di cui al terzo comma dell’art. 629 del codice penale.

Il comma 2 dell’art. 24-bis viene anch’esso modificato, sostituendo il riferimento all’art. 615-quinquies del codice penale con l’art. 635-quater.1, che disciplina la detenzione e diffusione di programmi informatici dannosi. Anche in questo caso, si registra un aumento delle sanzioni pecuniarie, che passano da un massimo di trecento a un massimo di quattrocento quote.

Infine, il comma 4 prevede l’applicazione di sanzioni interdittive nei confronti dell’ente condannato per il reato di estorsione informatica, secondo quanto previsto dal nuovo comma 1-bis. Tali sanzioni interdittive, che comprendono misure come il divieto di contrattare con la Pubblica Amministrazione, devono avere una durata non inferiore a due anni.

Queste modifiche si collocano nel più ampio contesto di rafforzamento della repressione dei crimini informatici, con l’obiettivo di aumentare l’efficacia delle sanzioni pecuniarie e delle misure interdittive a carico degli enti coinvolti in tali illeciti.

Modifiche al codice di procedura penale e alle leggi speciali

La Legge n. 90 interviene anche su numerose disposizioni del codice di procedura penale e di leggi speciali.

Uno dei principali interventi normativi riguarda l’ampliamento della competenza della Procura distrettuale. L’art. 51, comma 3-quinquies c.p.p., che disciplina i reati di competenza della Procura distrettuale, è stato modificato per includere i reati previsti dagli artt. 635-quater, 635-quater.1 e 635-quinquies c.p. (danneggiamento fisico, detenzione e diffusione di programmi informatici dannosi e danneggiamenti informatici di sistemi di pubblica utilità).

Inoltre, sono state aggiunte le condotte di falso che incidono sui poteri di controllo e ispettivi relativi ai soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, come stabilito dall’art. 1, comma 11, del D.L. n. 105/2019. Questo intervento mira a garantire un più rigido controllo dei reati che impattano sulla sicurezza nazionale cibernetica, facendo leva sulle capacità investigative della Procura distrettuale.

Un ulteriore emendamento riguarda la disciplina della proroga delle indagini preliminari. L’art. 406, comma 5-bis, c.p.p., introduce una deroga alla disciplina ordinaria basata sul contraddittorio delle parti. Questo permette agli inquirenti di ottenere la proroga inaudita altera parte. Inoltre, la durata massima delle indagini preliminari è stata estesa a due anni per tutti i principali reati informatici, tenuto conto della particolare difficoltà che tali indagini comportano.

I reati informatici più gravi, quali l’accesso abusivo aggravato a sistemi informatici, il danneggiamento fisico e logico di sistemi di pubblica utilità e i reati previsti dagli artt. 617-quater, 617-quinquies e 617-sexies c.p. (se commessi contro sistemi informatici o telematici di interesse pubblico, utilizzati dallo Stato o da imprese esercitanti servizi pubblici), sono stati inclusi in alcuni istituti speciali previsti dal D.L. n. 8/1991(“Norme per la protezione e il trattamento sanzionatorio di coloro che collaborano con la giustizia”).

Più precisamente si prevede, da un lato, che l’applicazione di speciali misure di protezione in favore di collaboratori di giustizia sia ammissibile anche per tali reati; dall’altro che la liberazione condizionale, la concessione dei permessi premio e l’ammissione alla misura della detenzione domiciliare siano disposte sentito il procuratore nazionale antimafia e antiterrorismo.

Inoltre, la Legge 90 modifica alcune disposizioni del D.L. 152/1991, estendendo anche ai reati informatici più gravi (per tali intendendosi quelli pocanzi indicati) la previsione per cui le intercettazioni sono disposte con decreto motivato se sussistono sufficienti indizi; vieppiù l’intercettazione tra presenti è consentita anche se non vi è motivo di ritenere che nei luoghi predetti si stia svolgendo l’attività criminosa.

Un altro rilevante intervento riguarda la disciplina delle speciali misure di protezione per i testimoni di giustizia, prevista dall’art. 11 della Legge n. 6 /2018. Per queste si prevede che, nei casi di reati informatici particolarmente gravi, la proposta di ammissione alle misure di protezione debba essere sottoposta al parere del Procuratore nazionale antimafia e antiterrorismo. Anche in questo caso, si evidenzia l’importanza attribuita alla dimensione cibernetica nell’ambito della sicurezza nazionale, con un rafforzamento delle misure di protezione per coloro che collaborano nelle indagini sui reati informatici.

Infine, l’art. 22 della Legge n. 90 del 2024 introduce importanti modifiche al decreto-legge 14 giugno 2021, n. 82, istitutivo dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Tra le principali novità, il comma 4 dell’art. 17 è stato modificato prevedendo che il personale dell’Agenzia, impegnato presso il CSIRT Italia, assuma la qualifica di pubblico ufficiale nello svolgimento delle proprie funzioni. Inoltre, viene stabilito che la trasmissione delle notifiche di incidenti informatici al Ministero dell’Interno adempie agli obblighi di denuncia previsti dall’art. 331 c.p.p.

Si prevede inoltre che, in caso di reati informatici ai danni di sistemi di interesse pubblico, oppure quando siano coinvolti soggetti rilevanti previsti dal Perimetro di Sicurezza Cibernetica o dal Decreto NIS (al riguardo rinviamo al nostro precedente approfondimento), l’Agenzia per la Cybersicurezza Nazionale debba immediatamente informare il Procuratore nazionale antimafia e antiterrorismo. Contestualmente, l’Agenzia è tenuta a proseguire con le attività necessarie per mitigare il rischio informatico.

Allo stesso modo, il Pubblico Ministero quando ha notizia di reati informatici di particolare gravità (v. art. 371, comma 4-bis c.p.p.), deve tempestivamente informare l’Agenzia per la Cybersicurezza e coordinarsi con il Ministero dell’Interno. Inoltre, è attribuito al pubblico ministero il potere di posticipare alcune attività di resilienza informatica qualora esse possano interferire con lo svolgimento delle indagini penali.

Infine, si prevede che, qualora si svolgano accertamenti tecnici irripetibili in relazione a reati informatici gravi e di interesse pubblico, l’Agenzia debba essere informata tempestivamente e possa partecipare alle indagini tecniche. Questa disposizione si applica anche nel caso in cui si proceda mediante incidente probatorio, garantendo così un coordinamento tra le attività investigative e le esigenze di cybersicurezza.

Conclusioni

In conclusione, è importante chiarire che la Legge n. 90 del 2024 non equipara i reati informatici a quelli di stampo mafioso. Sebbene la riforma abbia introdotto un significativo irrigidimento della risposta sanzionatoria, soprattutto in relazione ai reati più gravi che riguardano la sicurezza di dati e sistemi di interesse pubblico, non vi è alcuna assimilazione normativa tra i crimini informatici e quelli mafiosi. L’estensione dei poteri investigativi, come l’inclusione di alcuni reati informatici tra quelli di competenza della Procura distrettuale o l’adozione di misure speciali per reati che colpiscono infrastrutture critiche, è volta a garantire una maggiore protezione per la cybersicurezza nazionale.

Tuttavia, tale inasprimento non implica una parificazione tra le due categorie di reato, e sarebbe un errore concettuale considerarle sullo stesso piano. La riforma si limita a rafforzare la risposta dell’ordinamento giuridico ai crescenti rischi del cyberspazio, senza creare sovrapposizioni con la normativa antimafia.

Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex

Hacker con volto robotico che rappresenta il cybercrime, cybersicurezza e reati informatici, con la scritta DAGOSTINOLEX. Immagine per studio legale specializzato in assistenza legale contro ransomware, frodi informatiche e truffe via mail.

Studio legale Avv. Luca D’Agostino, specializzato in reati informatici, ransomware, frodi online e truffe tramite mail.

Perimetro di Sicurezza Nazionale Cibernetica e NIS 2. Checklist degli adempimenti

Perimetro di Sicurezza Nazionale Cibernetica e NIS 2. Checklist degli adempimenti

Il decreto legislativo di recepimento della Direttiva NIS 2 ha introdotto una regolamentazione che, in parte, si sovrappone all’ambito disciplinato dal Decreto-Legge 105/2019, istitutivo del Perimetro di Sicurezza Nazionale Cibernetica (PSNC). Tale parziale coincidenza emerge chiaramente dall’analisi degli ambiti soggettivi delle due normative. Da un lato, l’articolo 3 e l’articolo 6 del decreto NIS 2 individuano come destinatari gli operatori essenziali e importanti di settori rilevanti, tra cui molti rientrano nelle infrastrutture strategiche e nei servizi essenziali definiti dal D.L. 105/2019. In particolare, il DPR 30 luglio 2020, n. 131, ha esplicitamente elencato quei settori considerati di interesse nazionale, che coincidono con alcuni dei settori ricompresi anche nell’ambito di applicazione della normativa NIS 2.

L’introduzione di queste due normative mira a garantire una maggiore protezione delle infrastrutture critiche e dei sistemi informativi nazionali, attraverso la gestione del rischio cibernetico e l’adozione di misure di sicurezza proporzionate. Tuttavia, per gli operatori già inseriti nel PSNC, le nuove disposizioni della NIS 2 possono comportare obblighi aggiuntivi o diversamente modulati. L’articolo si propone di fornire un quadro completo e chiaro degli adempimenti che tali operatori devono rispettare per garantire la compliance con entrambe le normative.

A conclusione dell’articolo, forniremo una checklist degli adempimenti fondamentali e un calendario delle principali scadenze, utili per aiutare le imprese e gli enti pubblici a rispettare le disposizioni del D. Lgs. 138/2024 e del D.L. 105/2019. Questo strumento sarà essenziale per gestire in maniera efficiente le fasi di adeguamento richieste dalla normativa NIS di nuovo conio.

Perimetro di Sicurezza Nazionale Cibernetica: quali obblighi?

Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), istituito con il D.L. 105/2019, impone una serie di obblighi a carico dei soggetti che ne fanno parte, con l’obiettivo di garantire la protezione delle infrastrutture e dei sistemi essenziali per la sicurezza nazionale. Di seguito una breve disamina dei principali obblighi.

I soggetti inclusi nel Perimetro, una volta ricevuta la comunicazione ufficiale della loro inclusione, sono tenuti a predisporre e aggiornare periodicamente un elenco dettagliato dei beni ICT impiegati. Questo elenco deve includere i sistemi informativi e i servizi informatici che utilizzano tali beni, con l’indicazione specifica di quelli che, in caso di incidente, potrebbero causare l’interruzione totale o parziale delle funzioni essenziali o dei servizi essenziali. In particolare, devono essere evidenziati quei beni la cui compromissione potrebbe avere effetti irreversibili sulla riservatezza, integrità o disponibilità dei dati gestiti.

Entro sei mesi dalla comunicazione di inclusione nelle liste del PSNC, i soggetti devono trasmettere all’Autorità competente l’elenco completo dei beni ICT, accompagnato dai modelli che descrivono l’architettura di tali beni. Questo trasferimento di informazioni avviene attraverso una piattaforma digitale dedicata, garantendo così la sicurezza delle informazioni inviate.

In aggiunta a questi obblighi, i soggetti inclusi nel Perimetro sono tenuti a rispettare rigorose misure di sicurezza che mirano a prevenire e mitigare gli effetti di eventi dannosi in grado di pregiudicare il normale svolgimento delle loro attività. Tali misure, elaborate ai sensi dell’articolo 1, comma 4, del D.L. 105/2019, sono oggi elencate nel DPCM 81/2021, e impongono standard elevati di protezione.

Un ulteriore obbligo riguarda la notifica tempestiva di ogni incidente informatico al Gruppo di intervento per la sicurezza informatica in caso di incidente italiano (CSIRT Italia). Questa notifica deve essere effettuata senza indugio per consentire una gestione rapida e coordinata degli eventi.

Infine, i soggetti inclusi nel PSNC devono segnalare al Centro di valutazione e certificazione nazionale (CVCN) l’avvio di qualsiasi procedura di affidamento per la fornitura di beni ICT che saranno utilizzati su reti, sistemi informativi e servizi essenziali, al fine di garantire il rispetto delle misure di sicurezza nazionali anche nei processi di approvvigionamento tecnologico.

Il coordinamento tra PSNC e disciplina NIS 2

Il coordinamento tra il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e la disciplina introdotta dalla Direttiva NIS 2, come regolamentato dall’art. 33 del D. Lgs. 138/2024, rappresenta un aspetto cruciale per garantire una gestione integrata e coerente della sicurezza cibernetica a livello nazionale. Il legislatore ha voluto evitare sovrapposizioni e ridondanze normative tra le due discipline, garantendo al contempo che i soggetti già inseriti nel PSNC continuino a rispettare gli obblighi di sicurezza stabiliti dal D.L. 105/2019, senza dover duplicare le misure previste dal nuovo assetto normativo introdotto dalla NIS 2.

In primo luogo, il decreto stabilisce che gli obblighi di gestione del rischio per la sicurezza informatica e di notifica degli incidenti previsti dal D.L. 105/2019 sono considerati almeno equivalenti a quelli imposti dal D. Lgs. 138/2024. Questo significa che i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica non sono tenuti ad adempiere contemporaneamente agli obblighi di entrambe le normative, ma possono continuare a rispettare le disposizioni del PSNC, considerate sufficienti anche ai fini della NIS 2.

Tuttavia, il coordinamento tra le due discipline non implica una completa esenzione dalla normativa NIS 2. Infatti, l’art. 33 chiarisce che le reti, i sistemi informativi e i servizi inseriti nell’elenco del Perimetro di Sicurezza non sono soggetti alle disposizioni del decreto NIS 2, ma soltanto per quanto riguarda i beni strettamente rientranti nell’ambito del PSNC. Per tutti gli altri sistemi o servizi non compresi nel perimetro di sicurezza nazionale, continuano ad applicarsi le disposizioni del D. Lgs. 138/2024. Ciò garantisce che ogni infrastruttura critica e ogni soggetto essenziale o importante sia adeguatamente tutelato, senza lasciare lacune nel sistema di protezione cibernetica nazionale.

Un altro aspetto rilevante riguarda la notifica degli incidenti. I soggetti del Perimetro che notificano un incidente ai sensi del D.L. 105/2019 non devono ripetere la notifica seguendo le disposizioni del D. Lgs. 138/2024 per lo stesso evento. Anche in questo caso, il legislatore ha voluto evitare duplicazioni procedurali, garantendo una gestione più snella e coerente degli incidenti cibernetici.

La scelta del legislatore di coordinare il PSNC con la disciplina della Direttiva NIS 2 risponde all’esigenza di armonizzare le normative nazionali ed europee in materia di sicurezza cibernetica, garantendo che i soggetti coinvolti possano adottare misure di sicurezza efficaci, senza doversi confrontare con obblighi duplicati o conflittuali. Questo approccio garantisce una protezione ottimale delle infrastrutture critiche, pur mantenendo la coerenza tra le diverse normative applicabili.

Soggetti inclusi nel Perimetro, registrazione nella piattaforma, e obblighi NIS.

I soggetti già inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC) devono affrontare un’analisi preliminare per determinare se rientrano anche nell’ambito di applicazione del Decreto NIS 2. Questa valutazione è essenziale per stabilire se operano nei settori considerati critici o altamente critici, elencati negli Allegati I e II del D. Lgs. 138/2024, o se possiedono una delle qualifiche di soggetti pubblici o privati elencati negli Allegati III e IV. Qualora un soggetto operi in uno di questi ambiti, è tenuto a rispettare anche gli obblighi imposti dalla normativa NIS 2, oltre a quelli già previsti dal D.L. 105/2019.

Una volta confermata l’applicabilità del decreto NIS 2, i soggetti dovranno verificare se all’interno della loro organizzazione esistano reti e sistemi informativi che non rientrano nella clausola di esclusione prevista dall’art. 33, comma 1, lettera b), del D. Lgs. 138/2024.

Tale clausola esclude dall’ambito di applicazione della NIS 2 le reti e i sistemi già sottoposti alla disciplina del PSNC. Tuttavia, qualora esistano reti o sistemi informativi che non ricadano nel PSNC, ma che siano comunque rilevanti ai fini della NIS 2, questi soggetti dovranno procedere alla registrazione sulla piattaforma digitale predisposta dall’Agenzia per la Cybersicurezza Nazionale (ACN). La registrazione deve essere effettuata – a seconda dei casi –  entro il 17 gennaio 2025 o entro il 28 febbraio 2025, come già approfondito in un precedente articolo.

Per quanto riguarda l’obbligo di notifica degli incidenti, il Decreto NIS 2 prevede una deroga per gli incidenti che riguardano reti e sistemi informativi già sottoposti alla disciplina del PSNC. In questi casi, gli incidenti non devono essere notificati secondo le disposizioni del D. Lgs. 138/2024. Tuttavia, se l’incidente riguarda reti o sistemi esterni al PSNC, ma comunque soggetti alla normativa NIS 2, si ritiene che i soggetti debbano rispettare i termini di notifica stabiliti dagli artt. 25 e 42 del decreto.

Un ulteriore obbligo riguarda la comunicazione dell’elenco delle attività e dei servizi svolti dai soggetti, con la loro caratterizzazione e categorizzazione. Tale obbligo entrerà in vigore a partire dal 1° gennaio 2026, e da quella data i soggetti saranno tenuti a fornire annualmente le informazioni relative alle sole reti e sistemi che non rientrano nel Perimetro di Sicurezza Nazionale.

Entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, gli enti già inclusi nel PSNC dovranno inoltre adottare le misure di gestione del rischio e le misure di sicurezza previste dal Decreto NIS 2 per le reti e i sistemi non coperti dal PSNC. È possibile ritenere che, se tali misure sono analoghe a quelle previste dall’art. 1, comma 3, lettera b), del D.L. 105/2019, esse saranno considerate equivalenti a quelle richieste dal D. Lgs. 138/2024.

In conclusione, questa checklist fornisce un quadro orientativo degli adempimenti necessari per i soggetti già inclusi nel Perimetro e ora soggetti anche alla normativa NIS 2. Tuttavia, la complessità della disciplina e le peculiarità di ciascun soggetto richiedono una valutazione approfondita che solo una consulenza legale esperta può offrire. Il nostro studio legale è a disposizione per assistere le imprese e le pubbliche amministrazioni in tutte le fasi del processo di conformità alle normative sulla cybersicurezza.

Checklist di adempimenti

  • Verifica se l’organizzazione rientra nei settori degli Allegati I e II, o se possiede una qualifica prevista dagli Allegati III e IV del D. Lgs. 138/2024.
  • Valuta se ci sono reti o sistemi informativi che non ricadono nella clausola di esclusione ai sensi dell’art. 33, comma 1, lett. b) D. Lgs. 138/2024
  • Se esistono reti o sistemi extra Perimetro, procedi alla registrazione sulla piattaforma ACN entro il 17 gennaio 2025 o 28 febbraio 2025.
  • Fornisci le ulteriori informazioni richieste dal Decreto NIS 2 entro il 31 maggio 2025
  • Gli incidenti relativi a reti intra Perimetro non richiedono notifica secondo il D. Lgs. 138/2024, mentre gli incidenti extra Perimetro devono essere notificati secondo le tempistiche NIS 2.
  • Dal 1° gennaio 2026, comunica annualmente l’elenco delle attività e dei servizi per le reti e sistemi extra Perimetro, includendo caratterizzazione e categorizzazione.
  • Entro 18 mesi dall’inserimento nell’elenco NIS, adotta le misure di gestione del rischio e sicurezza per le reti e sistemi extra Perimetro, con possibili equivalenze alle misure PSNC.

Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex

SCARICA QUI IL PDF DELLA CHECKLIST: Checklist_NIS2_Perimetro_dagostinolex

Tablet con grafiche di sicurezza informatica e riferimento al Decreto NIS 2, studio legale a Roma specializzato in consulenza cyber security, incidenti e vulnerabilità

Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2 e Perimetro, gestione del rischio e incidenti informatici

Decreto NIS 2: calendario delle scadenze da non perdere

Decreto NIS 2: calendario delle scadenze da non perdere

Con il Decreto Legislativo 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, l’Italia ha finalmente recepito la Direttiva NIS 2. Il decreto introduce un quadro normativo più rigoroso e articolato, imponendo a soggetti pubblici e privati nuovi obblighi di gestione del rischio e di notifica di incidenti di sicurezza informatica. Nel dettaglio la normativa individua due principali categorie di soggetti: essenziali e importanti, imponendo loro differenti livelli di adempimento.

In questo articolo, intendiamo offrire una guida pratica per le imprese sulle principali scadenze e adempimenti previsti dal decreto, fornendo un quadro chiaro delle tempistiche e delle misure da adottare per evitare le pesanti sanzioni previste per le violazioni. In attesa di una nostra successiva pubblicazione più dettagliata, questo contributo vuole essere un primo strumento di orientamento per conformarsi alla nuova normativa in modo efficace e tempestivo.

Chi sono i soggetti tenuti all’applicazione del Decreto NIS 2?

Il D. Lgs. 138/2024 NIS 2 si applica a una vasta gamma di soggetti, pubblici e privati, che operano in settori considerati di primaria rilevanza per gli interessi della collettività. L’articolo 3, unitamente agli Allegati I, II, III e IV, identifica con precisione tali soggetti, distinguendoli in due grandi categorie: amministrazioni pubbliche e soggetti essenziali/ importanti.

Senza pretese di esaustività, basti in questa sede ricordare che, per quanto riguarda gli enti pubblici, il Decreto NIS 2 si applica a tutte le amministrazioni centrali dello Stato, come individuate nell’Allegato III, comprendendo, tra gli altri, ministeri, agenzie governative, autorità indipendenti, amministrazioni regionali, comuni oltre i 100.000 abitanti e altri enti pubblici (che forniscono, ad esempio, servizi di interesse economico generale, società in house, società partecipate e società a controllo pubblico etc.).

D’altro lato, per gli enti (essenzialmente) privati, il decreto distingue tra soggetti essenziali e soggetti importanti, in base alla rilevanza dei settori in cui operano. I soggetti essenziali, come definiti nell’Allegato I, operano in settori altamente critici per la sicurezza nazionale, tra cui l’energia, i trasporti, la sanità, la gestione delle risorse idriche e le infrastrutture digitali. Tuttavia, la qualifica spetta ai soggetti che superano i massimali previsti per le medie imprese, come stabilito dalla raccomandazione 2003/361/CE. Ciò esclude che le imprese di più ridotte dimensioni, a meno che non siano esplicitamente classificate come critiche o operino in determinati ambiti (es. prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello), siano annoverate tra i soggetti essenziali. Le P.A. centrali figurano di diritto tra i soggetti essenziali.

Rientrano invece tra i soggetti importanti, per sottrazione, quelli che non sono ritenuti essenziali e coloro che operano nei settori di cui all’Allegato II. Quest’ultimo individua alcuni settori come i servizi postali, la gestione dei rifiuti la produzione di sostanze chimiche o di dispositivi medici, e i fornitori di servizi digitali.  Anche in questo caso, l’applicazione della normativa è subordinata, salvo eccezioni, al superamento dei massimali per le piccole imprese.

NIS 2: la registrazione sulla piattaforma e il meccanismo di designazione. Quali termini?

Con il recepimento della Direttiva NIS 2 è stato significativamente ampliato il numero di soggetti tenuti a conformarsi agli obblighi di cybersicurezza. Rispetto al passato, la NIS 2 coinvolge una gamma più ampia di settori e soggetti, estendendo gli obblighi anche a categorie di soggetti e settori di attività prima non considerati. Questo ampliamento ha reso opportuno prevedere la creazione di una piattaforma digitale, gestita dall’Autorità nazionale competente NIS, attraverso la quale i soggetti interessati devono registrarsi o aggiornare le informazioni necessarie.

Nel dettaglio, l’art. 7, comma 1, del decreto NIS 2 stabilisce che a partire dal 1° gennaio di ogni anno, e non oltre il 28 febbraio, i soggetti obbligati devono registrarsi o aggiornare la propria registrazione sulla piattaforma digitale. Questa registrazione è fondamentale per consentire all’Autorità NIS di svolgere le sue funzioni di controllo e monitoraggio, e include la comunicazione di informazioni essenziali quali la ragione sociale, i recapiti aggiornati, l’indicazione di un punto di contatto e, ove applicabile, i settori e le tipologie di attività svolte.

In sostanza, l’ampiezza del perimetro di applicazione della normativa impone ora una maggiore responsabilità in capo ai soggetti privati, i quali devono attivarsi autonomamente per la registrazione sulla piattaforma, senza attendere un intervento attivo da parte dell’Autorità. Tale obbligo si applica sia ai soggetti essenziali che ai soggetti importanti, i quali devono comunicare tutte le informazioni relative alle proprie attività entro i termini previsti.

Tuttavia, l’art. 42 del decreto NIS 2 prevede un regime di prima applicazione per la registrazione, stabilendo che per alcune categorie specifiche di soggetti, come i fornitori di servizi di sistema dei nomi di dominio, di cloud computing e data center, la registrazione debba essere effettuata entro il 17 gennaio 2025.

Per gli altri soggetti, invece, il termine per completare la registrazione (in base al combinato disposto dagli artt. 7, comma 1 e 42) sembra fissato al 28 febbraio 2025. Tale obbligo appare comunque condizionato all’effettiva attivazione della piattaforma da parte dell’Autorità. Resta ferma la possibilità per i soggetti essenziali e importanti di registrarsi a partire dalla data di pubblicazione della piattaforma in esame.

Dopo aver ricevuto la registrazione sulla piattaforma, l’Autorità NIS verifica le informazioni trasmesse dai soggetti registrati; entro il 31 marzo di ogni anno, redige l’elenco dei soggetti essenziali e importanti. Successivamente, tramite la piattaforma digitale, comunica ai soggetti registrati il loro inserimento nell’elenco o eventuali aggiornamenti della loro posizione, e richiede eventuali integrazioni o ulteriori informazioni necessarie.

In caso di mancata registrazione o di tardiva registrazione sulla piattaforma digitale entro i termini stabiliti dall’art. 7 del D. Lgs. 138/2024 NIS 2, si applicano le sanzioni amministrative pecuniarie previste dall’art. 38. Le violazioni relative alla mancata registrazione sono punite con sanzioni che, per i soggetti essenziali, possono arrivare fino allo 0,1% del fatturato annuo su scala mondiale (o per i soggetti importanti, lo 0,07% del fatturato annuo). Inoltre, in caso di mancata registrazione, potranno essere comunque contestate, ricorrendone i presupposti, anche le altre violazioni (si applica, in tal caso, la sanzione prevista per la violazione più grave aumentata fino al triplo).

NIS 2, adozione di misure di sicurezza e elencazione di attività e servizi. Quali termini?

Il D. Lgs. 138/2024 NIS 2 prevede una serie di obblighi stringenti in materia di sicurezza informatica che i soggetti essenziali e importanti devono rispettare, come delineato dagli articoli 23, 24 e 30. L’articolo 23 impone agli organi di amministrazione e direttivi dei soggetti essenziali e importanti di approvare e sovrintendere all’implementazione delle misure di gestione del rischio per la sicurezza informatica. Tali organi sono inoltre tenuti a promuovere una formazione specifica in materia di sicurezza informatica, sia per i dirigenti che per i dipendenti.

L’articolo 24 stabilisce gli obblighi specifici di gestione del rischio per la sicurezza informatica. I soggetti obbligati devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per prevenire o ridurre al minimo l’impatto di incidenti di sicurezza sui propri sistemi informativi e sui servizi offerti. Le misure devono essere basate su un approccio multi-rischio e comprendere politiche di sicurezza, gestione degli incidenti, continuità operativa, gestione della catena di approvvigionamento e sicurezza del personale.

L’articolo 30 del Decreto NIS 2, invece, prevede l’obbligo per i soggetti essenziali e importanti di fornire, attraverso la piattaforma digitale, un elenco delle attività e dei servizi svolti, comprensivo della loro caratterizzazione e categorizzazione, al fine di permettere una valutazione accurata dei rischi associati a ciascuna attività. Tale elenco deve essere comunicato annualmente tra il 1° maggio e il 30 giugno, a partire dall’anno successivo alla registrazione sulla piattaforma digitale.

Tuttavia, come previsto dall’articolo 42 del decreto NIS 2, l’obbligo di comunicare l’elenco delle attività e dei servizi entrerà in vigore a partire dal 1° gennaio 2026, fornendo così ai soggetti coinvolti un ampio margine di tempo per adeguarsi.

Per quanto riguarda gli obblighi previsti dagli articoli 23 e 24 del Decreto NIS 2, essi dovranno essere rispettati entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti, come stabilito dall’articolo 42. Questo termine dilazionato garantisce ai soggetti il tempo necessario per implementare tutte le misure di sicurezza richieste dalla normativa, evitando che l’applicazione sia immediata e repentina.

Notifica degli incidenti. Quali termini?

Il decreto di recepimento della NIS 2, all’art. 25, introduce un obbligo stringente per i soggetti essenziali e importanti di notificare ogni incidente significativo che possa avere un impatto rilevante sulla fornitura dei loro servizi. L’incidente è considerato significativo quando provoca o ha il potenziale di provocare gravi perturbazioni operative o perdite finanziarie per il soggetto, o quando ha ripercussioni significative su altre persone fisiche o giuridiche, causando perdite materiali o immateriali rilevanti.

La norma stabilisce i termini precisi per la notifica degli incidenti al CSIRT Italia. Entro 24 ore dal momento in cui un soggetto è venuto a conoscenza di un incidente significativo, è richiesto l’invio di una pre-notifica, che, ove possibile, deve indicare se l’incidente può essere il risultato di atti illegittimi o malevoli o se ha un impatto transfrontaliero.

Successivamente, entro 72 ore dalla scoperta dell’incidente, il soggetto deve trasmettere una notifica completa, contenente una valutazione iniziale dell’incidente, comprensiva della sua gravità e impatto. In seguito, il soggetto può essere tenuto a fornire una relazione intermedia, seguita da una relazione finale entro un mese dall’invio della notifica completa, contenente una descrizione dettagliata dell’incidente, le misure di attenuazione adottate e l’impatto transfrontaliero, ove noto.

In base a quanto previsto dall’art. 42, l’obbligo di notifica degli incidenti si applicherà gradualmente. Nella fase di prima applicazione, il termine per l’adempimento degli obblighi di notifica è fissato in nove mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti da parte dell’Autorità nazionale competente NIS.

Tuttavia, per i soggetti che sono già stati identificati come operatori di servizi essenziali ai sensi del D. Lgs. 65/2018, l’obbligo di notifica degli incidenti e gli altri obblighi previsti dalle vecchie disposizioni continueranno a rimanere in vigore fino all’applicazione delle nuove regole stabilite dal D. Lgs. 138/2024 NIS 2.

In particolare, i capi IV e V del D. Lgs. 65/2018, che disciplinano rispettivamente la gestione della sicurezza informatica e la notifica degli incidenti, continueranno ad applicarsi ai soggetti già inclusi nell’elenco NIS. Questo regime transitorio sarà valido fino all’adozione dei nuovi provvedimenti attuativi previsti dall’articolo 40 del D. Lgs. 138/2024 NIS 2. Tali provvedimenti attuativi definiranno nel dettaglio le nuove modalità di applicazione della normativa NIS 2 e sostituiranno definitivamente le vecchie regole.

Calendario delle scadenze per i destinatari del D. Lgs. 138/2024 NIS 2

Per le imprese e le pubbliche amministrazioni interessate, è fondamentale monitorare con attenzione le scadenze previste e procedere tempestivamente all’adempimento degli obblighi imposti dal decreto. Pertanto, a chiusura di questa breve guida operativa riportiamo, a valere come riassunto delle considerazioni dei paragrafi precedenti, uno scadenziario delle deadline che – presumibilmente – i destinatari della disciplina si troveranno a dover rispettare.

In ogni caso, si tenga presente che, ai sensi dell’art. 40 del D. Lgs. 138/2024 NIS 2, con apposite determinazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN), saranno stabiliti i termini, le modalità e i procedimenti di utilizzo e accesso alla piattaforma digitale prevista dall’articolo 7, comma 6. Saranno inoltre specificate le ulteriori informazioni che i soggetti obbligati dovranno fornire. Analogamente, l’ACN stabilirà le categorie di rilevanza e le modalità di elencazione e categorizzazione delle attività e dei servizi, in linea con l’art. 30. Pertanto, alcune delle scadenze previste dal calendario potrebbero essere condizionate all’effettiva attivazione della piattaforma di registrazione e alla pubblicazione delle determinazioni dell’ACN.

Il nostro studio legale è a disposizione per fornire assistenza e consulenza su ogni aspetto della normativa NIS 2, aiutandovi a comprendere appieno gli obblighi e a rispettare le scadenze, al fine di garantire la piena conformità alle nuove disposizioni. Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex

Ecco un dettaglio delle scadenze.

17 gennaio 2025:

Entro questa data, alcune categorie specifiche di soggetti, come fornitori di servizi di sistema dei nomi di dominio, gestori di registri di nomi di dominio, fornitori di cloud computing e data center, dovranno completare la registrazione sulla piattaforma digitale. Questa scadenza è condizionata all’attivazione della piattaforma di registrazione e alla pubblicazione delle modalità di accesso stabilite dall’ACN.

28 febbraio 2025:

Entro il 28 febbraio 2025, tutti gli altri soggetti essenziali e importanti identificati dal decreto dovranno completare la registrazione o l’aggiornamento delle informazioni richieste sulla piattaforma digitale, in conformità all’art. 7, comma 1 del Decreto NIS 2. Anche questa scadenza dipende dall’attivazione effettiva della piattaforma.

31 marzo 2025:

L’Autorità nazionale competente NIS redigerà, entro il 31 marzo di ogni anno, l’elenco dei soggetti essenziali e importanti sulla base delle registrazioni effettuate. Anche il rispetto di tale scadenza dipenderà, verosimilmente, dall’attivazione effettiva della piattaforma.

31 maggio 2025:

I soggetti che hanno ricevuto la comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti (prevista entro il 31 marzo 2025), sono tenuti, tramite la piattaforma digitale, a fornire o aggiornare le seguenti informazioni: lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso, l’elenco degli Stati membri in cui forniscono servizi rilevanti ai sensi del decreto, e i nominativi degli apicali responsabili dell’adempimento degli obblighi previsti dal decreto. Ciò postula che siano state adottate le determine di attivazione della piattaforma e sia stato comunicato l’effettivo inserimento nell’elenco dei destinatari della disciplina.

Entro 9 mesi dalla comunicazione di inserimento nell’elenco:

A partire dalla data della comunicazione di inserimento nell’elenco, i soggetti avranno un termine di nove mesi per iniziare ad adempiere agli obblighi di notifica degli incidenti previsti dall’art. 25. Resta fermo quanto previsto dalla disciplina transitoria per soggetti già inclusi tra gli operatori NIS.

1° gennaio 2026:

L’obbligo di comunicare l’elenco delle attività e dei servizi, comprensivo della loro caratterizzazione e categorizzazione, entrerà in vigore a partire dal 1° gennaio 2026. Da tale data, i soggetti dovranno fornire annualmente tali informazioni, come previsto dall’art. 30 del Decreto NIS 2. Anche questa scadenza appare condizionata alla definizione delle categorie di rilevanza e dei criteri di elencazione da parte dell’ACN.

Entro 18 mesi dalla comunicazione di inserimento nell’elenco:

Entro 18 mesi dalla ricezione della comunicazione, probabilmente a partire dal mese di ottobre 2026, i soggetti essenziali e importanti dovranno adempiere agli obblighi di gestione del rischio e delle misure di sicurezza previste dagli articoli 23 e 24 del Decreto NIS 2. Questo include l’approvazione delle politiche di gestione del rischio informatico e l’implementazione delle misure di sicurezza adeguate.

N.B. Le date sopra indicate sono orientative e non sostituiscono un parere legale circostanziato in base alle specifiche caratteristiche dell’operatore destinatario della disciplina NIS 2.

SCARICA QUI IL PDF: Deadlines_decreto_NIS2_dagostinolex

Contatta il nostro Studio per una consulenza sull’implementazione del Decreto NIS 2

 

Tablet con grafiche di sicurezza informatica e riferimento al Decreto NIS 2, studio legale a Roma specializzato in consulenza cyber security, incidenti e vulnerabilità

Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2, gestione del rischio e incidenti informatici

Falso in bilancio e 231: sopravvalutazioni e sottovalutazioni nella situazione patrimoniale della società

Falso in bilancio e 231: sopravvalutazioni e sottovalutazioni nella situazione patrimoniale della società

Il falso in bilancio è un tema sempre attuale. Invero la redazione del bilancio rappresenta un momento di cruciale importanza per la vita di ogni impresa, poiché costituisce il principale strumento attraverso cui viene data evidenza della situazione patrimoniale, economica e finanziaria della società. Tale documento, destinato a essere scrutinato da una molteplicità di soggetti – dagli azionisti agli investitori, dai creditori agli enti regolatori – deve riflettere con la massima trasparenza la realtà aziendale, garantendo così la tutela dell’affidamento che il mercato ripone nell’impresa.

In un simile contesto, l’attenzione posta alla rappresentazione veritiera e corretta dei dati contabili non è solo una questione di precisione tecnica, ma costituisce una vera e propria responsabilità giuridica. Gli amministratori e i dirigenti delle società sono tenuti a rispettare rigorosi obblighi di legge in merito alla veridicità delle informazioni finanziarie riportate nei bilanci.

Il mancato rispetto di tali obblighi, come  noto, espone gli organi apicali dell’impresa non solo a sanzioni di natura civile e amministrativa, ma anche a gravi responsabilità penali, in particolar modo in relazione al reato di falso in bilancio (i.e. false comunicazioni sociali, art. 2621 c.c.). La delicatezza della materia impone, pertanto, una riflessione approfondita sui rischi derivanti da una rappresentazione contabile non conforme alle norme, con particolare riferimento alle implicazioni penalmente rilevanti.

L’obiettivo di questo contributo è quello di destare attenzione sull’importanza della corretta redazione dei bilanci e delle conseguenze derivanti da eventuali violazioni delle disposizioni di legge in materia (in particolare per falso in bilancio). Verranno analizzati i principali profili di rilevanza penale connessi alla redazione di bilanci non veritieri, con particolare riferimento al reato di false comunicazioni sociali, evidenziando altresì il ruolo fondamentale della prevenzione per una gestione aziendale conforme alla normativa e alle best practices di settore.

Sottovalutazione o sopravvalutazione delle voci patrimoniali. Falso in bilancio e impatto sulle decisioni economico-finanziarie

La corretta valutazione delle voci patrimoniali rappresenta un elemento centrale nella redazione del bilancio di esercizio, in quanto consente di fornire una rappresentazione veritiera e corretta della situazione economica e finanziaria dell’impresa. In tal senso, la sopravvalutazione o la sottovalutazione delle attività e delle passività costituiscono fattori distorsivi che possono alterare significativamente la percezione della salute finanziaria dell’azienda, con ripercussioni sulle decisioni degli stakeholder, quali investitori, creditori e partner commerciali.

La sopravvalutazione delle attività si verifica, ad esempio, quando i beni materiali o immateriali dell’impresa vengono iscritti a bilancio con valori superiori a quelli effettivi, violando il principio della prudenza contabile. Un esempio tipico riguarda l’iscrizione di immobili aziendali a un valore superiore a quello di mercato, basandosi su perizie non aggiornate o su criteri di valutazione eccessivamente ottimistici. Similmente, un altro caso ricorrente di sopravvalutazione si riscontra nella contabilizzazione di crediti verso clienti, che vengono mantenuti a bilancio come integralmente recuperabili, pur in presenza di segnali di difficoltà nel recupero, come inadempimenti protratti o situazioni di insolvenza degli stessi debitori. Questo comporta una rappresentazione artificiosa della liquidità e della capacità di incasso dell’impresa.

Dall’altra parte, la sottovalutazione delle passività si manifesta quando le obbligazioni dell’impresa vengono iscritte in bilancio a un valore inferiore a quello effettivo o vengono omesse del tutto, con il risultato di presentare una situazione finanziaria più solida di quella reale. Un esempio concreto di sottovalutazione riguarda il mancato accantonamento o un accantonamento insufficiente per passività potenziali, come le vertenze legali in corso, che potrebbero comportare esborsi significativi nel futuro. Un altro caso comune è la sottostima dei debiti verso fornitori o degli oneri fiscali, attraverso una rappresentazione dilazionata o inadeguata delle scadenze imminenti.

Tali distorsioni nella valutazione delle voci patrimoniali non solo compromettono la trasparenza e la veridicità del bilancio, ma incidono anche sulle scelte operative e strategiche di chi esamina questi dati. Un investitore, di fronte a una sopravvalutazione delle attività, potrebbe essere indotto a sovrastimare la redditività potenziale dell’impresa e a intraprendere decisioni di investimento basate su un quadro non realistico. Analogamente, un creditore potrebbe valutare erroneamente la capacità dell’impresa di onorare i propri debiti in presenza di una sottovalutazione delle passività, con conseguente rischio di esposizione finanziaria.

La responsabilità penale per falso in bilancio

La disciplina del falso in bilancio, contenuta negli artt. 2621 e 2622 del codice civile, individua tra i soggetti attivi del reato gli amministratori, i direttori generali, i sindaci e i liquidatori, ovvero coloro che rivestono un ruolo di responsabilità nella gestione e nella rappresentazione contabile della situazione economico-finanziaria dell’impresa.

La condotta incriminata consiste nella falsificazione o omissione di informazioni rilevanti all’interno dei bilanci, delle relazioni o di altre comunicazioni sociali destinate ai soci o al pubblico. Tali atti, se finalizzati a ingannare i destinatari o a ottenere per sé o per altri un vantaggio ingiusto, violano il principio della trasparenza contabile e la corretta informazione societaria.

Il reato si fonda sull’elemento soggettivo del dolo specifico, che si manifesta nell’intento fraudolento di alterare la rappresentazione della realtà societaria, influenzando in modo distorto le decisioni di terzi (investitori, creditori, soci, ecc.). Non basta, quindi, la semplice negligenza o imperizia; è richiesta la volontà consapevole di esporre fatti non rispondenti al vero o di omettere informazioni dovute.

Particolare rilievo assume il concetto di “fatti materiali rilevanti non rispondenti al vero”, che abbraccia tanto le falsità di natura oggettiva quanto le valutazioni soggettive che si discostano gravemente dai criteri ragionevoli o dalle prassi contabili generalmente accettate.

La questione del falso in bilancio valutativo è stata a lungo dibattuta in dottrina e giurisprudenza, con una svolta significativa nella sentenza delle Sezioni Unite della Corte di Cassazione n. 22474 del 31 maggio 2016. In questa decisione, la Corte ha chiarito che il falso valutativo, pur incentrato su stime e giudizi soggettivi, può configurare reato laddove tali valutazioni siano effettuate in maniera irragionevole e tale da alterare sostanzialmente la rappresentazione della situazione patrimoniale, economica o finanziaria della società.

Le Sezioni Unite hanno infatti sancito che, affinché si configuri il reato di falso in bilancio, non è necessario che la falsità riguardi un dato oggettivo e numerico. Anche le valutazioni soggettive, se basate su criteri manifestamente inappropriati, possono avere rilevanza penale, in quanto la legge mira a garantire la veridicità sostanziale del bilancio, non limitandosi ai meri aspetti formali. In questo senso, il falso valutativo si verifica quando gli amministratori adottano parametri di valutazione che si discostano in maniera irragionevole dai principi contabili o dalla realtà economica, con il risultato di fornire una falsa immagine della solidità patrimoniale e finanziaria della società.

La decisione ha, in sostanza, confermato l’importanza del rispetto dei principi di verità e prudenza nella redazione dei bilanci, confermando che il falso valutativo rappresenta ancora oggi un profilo rilevante nella prassi giudiziaria.

Tale condotta è spesso contestata dalle procure, soprattutto nei casi in cui la discrezionalità nella valutazione degli asset aziendali viene utilizzata in modo fraudolento per mascherare difficoltà economiche o manipolare le informazioni destinate al mercato. Di conseguenza, il falso valutativo continua a costituire un terreno centrale per le indagini in ambito societario, specie in contesti di crisi o di operazioni straordinarie, come fusioni o acquisizioni.

Prevenzione del falso in bilancio valutativo e responsabilità dell’ente ex D. Lgs. 231/2001

Il reato di falso in bilancio, rientrante tra i reati societari previsti dal nostro ordinamento, costituisce uno dei presupposti per la responsabilità amministrativa dell’ente ai sensi del D. Lgs. 231/2001. Qualora tale reato sia commesso da soggetti apicali o subordinati nell’interesse o a vantaggio dell’ente, la società può essere chiamata a rispondere con pesanti sanzioni, soprattutto in mancanza di un modello organizzativo idoneo e dell’istituzione di un Organismo di Vigilanza (OdV) deputato al controllo. Le sanzioni applicabili in tali casi possono variare dalle sanzioni pecuniarie fino a quelle interdittive, quali l’interdizione dall’esercizio dell’attività, il divieto di contrarre con la pubblica amministrazione e la sospensione o revoca di autorizzazioni e licenze, con gravi ripercussioni sulla continuità operativa dell’impresa.

Per prevenire efficacemente la commissione di reati come il falso in bilancio, i modelli organizzativi ex D. Lgs. 231/2001 devono prevedere un complesso di protocolli decisionali e di procedure di controllo volti a ridurre la discrezionalità nella valutazione delle voci patrimoniali, garantendo la veridicità e trasparenza delle comunicazioni sociali.

La costruzione di tali modelli richiede un’analisi approfondita delle specificità dell’impresa, ma in generale è necessario che essi prevedano misure che assicurino una rigorosa aderenza ai principi contabili generalmente accettati e che i criteri di valutazione adottati siano costantemente aggiornati in conformità alle migliori prassi. È altresì fondamentale che all’interno dell’organizzazione siano predisposte procedure interne per la revisione dei bilanci e delle valutazioni da parte di soggetti indipendenti rispetto a chi ha operato le stime contabili, garantendo così una separazione funzionale tra i ruoli di chi produce e chi verifica i dati contabili.

In aggiunta, è imprescindibile che ogni valutazione patrimoniale e finanziaria venga adeguatamente documentata, affinché vi sia traccia dei criteri seguiti e delle motivazioni sottostanti, a tutela dell’azienda nel caso di contestazioni future. Un altro aspetto rilevante è rappresentato dal ruolo dell’Organismo di Vigilanza, il cui compito è quello di monitorare l’efficace attuazione dei protocolli e delle procedure interne, con particolare attenzione a quei processi che lasciano margini di discrezionalità valutativa e che potrebbero esporre l’ente a rischi di false rappresentazioni contabili.

Accanto al reato di falso in bilancio e alla responsabilità amministrativa dell’ente, altre sanzioni possono trovare applicazione in tali contesti. In particolare, il sequestro preventivo e la confisca del profitto del reato rappresentano misure ulteriori a disposizione dell’autorità giudiziaria. Inoltre, sul piano civilistico, la società potrebbe essere esposta a azioni di responsabilità promosse da soci o creditori che abbiano subito un danno a causa della falsificazione contabile o di una rappresentazione non veritiera della situazione patrimoniale e finanziaria dell’impresa. A ciò si aggiunge il rischio di danno reputazionale, con un conseguente impatto negativo sulla fiducia del mercato e degli investitori.

In conclusione, la prevenzione del falso in bilancio valutativo assume una rilevanza fondamentale non solo per evitare le sanzioni penali e amministrative previste dalla normativa, ma anche per avviare efficaci pratiche di self-cleaning in situazioni di irregolarità ereditate da precedenti gestioni aziendali. L’adozione di modelli organizzativi conformi al D. Lgs. 231/2001 e la nomina di un adeguato Organismo di Vigilanza permettono all’impresa di dimostrare la propria buona fede e l’impegno nel prevenire illeciti futuri, contribuendo così a preservare la stabilità e la continuità aziendale, nonché a ristabilire un rapporto di fiducia con i propri interlocutori economici e finanziari.

Conclusioni sul falso in bilancio: sopravvalutazioni e sottovalutazioni

Le pratiche di sopravvalutazione e sottovalutazione delle voci patrimoniali e finanziarie della società sono purtroppo fenomeni diffusi in ambito aziendale, spesso frutto di una gestione non conforme ai principi contabili o di una volontà di alterare la percezione della salute economica dell’impresa.

In molti casi, i nuovi soggetti apicali, subentrando nella guida dell’azienda, si trovano a dover fronteggiare una situazione contabile non veritiera, frutto di scelte operate dalla precedente gestione. Questi ultimi sono chiamati a recuperare un quadro realistico delle consistenze patrimoniali, operando un’attenta revisione delle valutazioni precedenti per restituire un’immagine corretta della situazione economico-finanziaria.

Il falso in bilancio valutativo, come si è visto, riveste un ruolo di particolare rilevanza e non può essere trascurato, poiché non solo altera la rappresentazione contabile della società, ma può altresì configurare ipotesi di reato penalmente rilevanti. La giurisprudenza ha chiarito come anche le valutazioni soggettive possano dar luogo a responsabilità penali, qualora effettuate con criteri palesemente irragionevoli e tali da indurre in errore i destinatari delle informazioni societarie. Pertanto, le conseguenze di una gestione errata o fraudolenta dei bilanci non si limitano alla sfera civilistica o amministrativa, ma possono estendersi al piano penale, con ripercussioni dirette sugli organi di gestione della società.

Alla luce di tali considerazioni, si evidenzia l’importanza non solo di una corretta redazione e revisione periodica del bilancio, ma anche dell’implementazione e dell’aggiornamento costante del modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001. Tale strumento costituisce una difesa fondamentale per prevenire la commissione di reati societari, tra cui il falso in bilancio, e per garantire una gestione aziendale trasparente e conforme alla normativa vigente.

In questo contesto, il ruolo di una consulenza legale specializzata in diritto penale d’impresa si dimostra cruciale per assistere l’impresa nella predisposizione di adeguati protocolli di controllo e per tutelare gli organi apicali dai rischi connessi alla responsabilità penale e amministrativa.

Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex