Negli ultimi mesi, la Legge n. 90 del 2024, comunemente definita “Legge sulla cybersicurezza”, è stata oggetto di numerose interpretazioni fuorvianti, spesso amplificate dalla diffusione di fake news. Alcune voci, prive di fondamento, hanno sostenuto che la normativa equiparasse i reati informatici a quelli mafiosi, creando confusione circa la reale portata della riforma.

Altri ancora hanno erroneamente affermato che la legge abbia abolito la fattispecie di reato legata alla diffusione di malware, senza dar conto della corrispondente introduzione di una nuova fattispecie nel sistema repressivo del danneggiamento informatico.

La Legge in commento è strutturata in due capi. Il Capo I introduce misure per il rafforzamento della cybersicurezza, imponendo obblighi specifici alle pubbliche amministrazioni, quali l’obbligo di notifica degli incidenti informatici e la nomina di un referente per la cybersicurezza. Queste disposizioni mirano a rendere più sicure le infrastrutture digitali critiche, aumentando la capacità di risposta e prevenzione agli attacchi cibernetici.

Il Capo II, invece, incide direttamente sugli strumenti repressivi a disposizione dell’ordinamento, apportando modifiche significative al codice penale (in specie ai reati informatici) e al codice di procedura penale. Questi interventi ampliano la gamma delle condotte punibili e, soprattutto, inaspriscono le pene per i responsabili di crimini informatici, con l’obiettivo di rendere più efficace la lotta al cybercrime.

L’articolo che segue si propone di analizzare e commentare le principali novità introdotte dalla Legge n. 90/2024 sul fronte sostanziale (con particolare riferimento ai reati informatici) e processuale, con l’intento di chiarire l’effettiva portata della riforma; in un successivo approfondimento ci occuperemo invece delle disposizioni del Capo I relativi alle Pubbliche Amministrazioni.

Modifiche al codice penale e ai reati informatici

La Legge n. 90/2024 ha introdotto rilevanti modifiche al codice penale in materia di reati informatici, con l’obiettivo di rafforzare il trattamento sanzionatorio e di inasprire le pene per le condotte illecite nel cyberspazio. Una delle principali novità riguarda l’inasprimento delle pene previste per il reato di accesso abusivo a sistemi informatici o telematici, di cui all’art. 615-ter c.p.

Le ipotesi aggravate, in particolare, prevedono ora una reclusione da due a dieci anni, ulteriormente innalzata da quattro a dodici anni nel caso in cui la condotta illecita sia rivolta contro sistemi di interesse pubblico. Inoltre, è esteso il perimetro dell’aggravante per quelle condotte che, oltre al danneggiamento o distruzione dei sistemi, provocano la sottrazione, riproduzione, trasmissione o l’inaccessibilità ai dati e ai programmi in essi contenuti.

La novella ha altresì ampliato il dolo specifico richiesto per il reato previsto all’art. 615-quater c.p., che ora contempla, in luogo del profitto, il concetto più generico di “vantaggio”. È stato introdotto un terzo comma che prevede una pena più severa, da tre a otto anni di reclusione, per le condotte che riguardano sistemi di interesse pubblico. In questo modo, il legislatore ha voluto rafforzare la tutela di infrastrutture critiche contro i reati informatici, rendendo estremamente seria la risposta sanzionatoria per un reato che,  nella sua forma base, ha un trattamento sanzionatorio piuttosto indulgente.

Tra le modifiche ai reati informatici, altra importante novità riguarda l’art. 617-bis c.p., relativo alla detenzione, diffusione e installazione abusiva di apparecchiature e mezzi atti a intercettare, impedire o interrompere comunicazioni. In questo caso, sono state introdotte nuove aggravanti per punire in modo più severo le condotte commesse da pubblici ufficiali, incaricati di pubblico servizio o da operatori di sistema, con pene più alte qualora le condotte siano rivolte contro sistemi di interesse pubblico.

Anche l’art. 617-quater c.p., che disciplina l’intercettazione illecita di comunicazioni informatiche o telematiche, è stato oggetto di modifiche, con un inasprimento delle pene e l’introduzione di aggravanti analoghe, rafforzando così la repressione delle condotte lesive della sicurezza delle comunicazioni digitali.

Significativa è l’introduzione dell’art. 623-quater c.p., che prevede una nuova circostanza attenuante speciale per reati informatici di lieve entità. Tale attenuante si applica nei casi in cui il danno o il pericolo risultino di particolare tenuità. Consente poi una diminuzione delle pene comminate fino a due terzi nel caso in cui l’autore del reato si adoperi concretamente per evitare conseguenze ulteriori, collaborando con le autorità nella raccolta di prove o nel recupero dei proventi illeciti. Questo istituto tempera il rigore sanzionatorio, permettendo una riduzione delle pene per i reati minori e per coloro che cooperano con la giustizia.

La Legge n. 90 del 2024 ha anche introdotto il nuovo reato di estorsione informatica, disciplinata dal terzo comma dell’art. 629 c.p. Tale reato punisce con la reclusione da sei a dodici anni, e con la multa, chiunque, mediante accesso abusivo, intercettazioni, danneggiamento di dati o sistemi informatici, o minacciando di compiere tali condotte, costringa qualcuno a fare o omettere qualcosa, procurando a sé o ad altri un ingiusto profitto con altrui danno.

Questa nuova fattispecie – che idealmente può essere inserita tra i reati informatici – si pone come risposta normativa al fenomeno crescente dell’estorsione informatica mediante ransomware, prevedendo un trattamento sanzionatorio particolarmente severo per tali condotte. Si tratta di una fattispecie autonoma di reato, che lascia adito ad alcuni dubbi sulla disciplina applicabile ex art. 2 c.p. (in particolare se alcune delle condotte descritte dalla norma potessero considerarsi reato in base alla legge previgente).

La riforma ha investito anche i reati informatici di danneggiamento logico e fisico, per i quali sono stati innalzati i limiti di pena e introdotte nuove aggravanti, con particolare riferimento alle condotte commesse da pubblici ufficiali, incaricati di pubblico servizio o operatori di sistema. Anche il reato di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico ha subito modifiche significative. L’art. 615-quinquies c.p. è stato abrogato, e la fattispecie è stata inserita nel nuovo art. 635-quater.1 c.p.

Nonostante non muti la sostanza del reato, la collocazione sistematica è sicuramente più opportuna; inoltre sono state introdotte nuove aggravanti per punire più severamente le condotte commesse da soggetti con qualifiche pubblicistiche o relative a sistemi di interesse pubblico. Vale anche in questo caso la considerazione pocanzi svolta a proposito delle aggravanti del reato di cui all’art. 615-quater c.p.

Per temprare il rigore delle nuove sanzioni, la Legge n. 90/2024 ha introdotto una nuova circostanza attenuante all’art. 639-ter c.p., che prevede la diminuzione delle pene per i reati di estorsione informatica e per il danneggiamento di sistemi informatici, qualora il fatto risulti di lieve entità. Come per l’art. 623-quater c.p., è prevista una riduzione delle pene fino a due terzi per coloro che collaborano attivamente con le autorità per evitare conseguenze ulteriori del reato o per favorire il recupero dei proventi delittuosi.

Infine, nel contesto dell’art. 640 c.p., è stata introdotta una nuova aggravante per la “truffa via web”, disciplinata dal nuovo comma 2-ter dell’art. 640 c.p. Questo prevede un aumento della pena per le truffe commesse a distanza mediante strumenti informatici o telematici, idonei a ostacolare l’identificazione del colpevole. Tuttavia, nonostante l’aggravamento del trattamento sanzionatorio, la procedibilità d’ufficio per questa fattispecie non è prevista, richiedendo quindi la presentazione di querela da parte della persona offesa per l’avvio del procedimento penale.

Quanto alla responsabilità da reato dell’ente, l’art. 19 della Legge n. 90 del 2024 introduce significative modifiche all’art. 24-bis del Decreto Legislativo 8 giugno 2001, n. 231. Le modifiche riguardano, in particolare, l’inasprimento delle sanzioni pecuniarie.

Il comma 1 dell’art. 24-bis, infatti, viene modificato prevedendo un aumento delle sanzioni, che passano da un minimo di cento a cinquecento quote, a un nuovo intervallo compreso tra duecento e settecento quote. Tale aumento è finalizzato a intensificare l’impatto economico delle sanzioni in capo agli enti responsabili di tali condotte illecite.

Un’ulteriore rilevante novità è rappresentata dall’introduzione del nuovo comma 1-bis, il quale prevede l’applicazione di una sanzione pecuniaria, variabile da trecento a ottocento quote, in caso di commissione del reato di estorsione informatica, di cui al terzo comma dell’art. 629 del codice penale.

Il comma 2 dell’art. 24-bis viene anch’esso modificato, sostituendo il riferimento all’art. 615-quinquies del codice penale con l’art. 635-quater.1, che disciplina la detenzione e diffusione di programmi informatici dannosi. Anche in questo caso, si registra un aumento delle sanzioni pecuniarie, che passano da un massimo di trecento a un massimo di quattrocento quote.

Infine, il comma 4 prevede l’applicazione di sanzioni interdittive nei confronti dell’ente condannato per il reato di estorsione informatica, secondo quanto previsto dal nuovo comma 1-bis. Tali sanzioni interdittive, che comprendono misure come il divieto di contrattare con la Pubblica Amministrazione, devono avere una durata non inferiore a due anni.

Queste modifiche si collocano nel più ampio contesto di rafforzamento della repressione dei crimini informatici, con l’obiettivo di aumentare l’efficacia delle sanzioni pecuniarie e delle misure interdittive a carico degli enti coinvolti in tali illeciti.

Modifiche al codice di procedura penale e alle leggi speciali

La Legge n. 90 interviene anche su numerose disposizioni del codice di procedura penale e di leggi speciali.

Uno dei principali interventi normativi riguarda l’ampliamento della competenza della Procura distrettuale. L’art. 51, comma 3-quinquies c.p.p., che disciplina i reati di competenza della Procura distrettuale, è stato modificato per includere i reati previsti dagli artt. 635-quater, 635-quater.1 e 635-quinquies c.p. (danneggiamento fisico, detenzione e diffusione di programmi informatici dannosi e danneggiamenti informatici di sistemi di pubblica utilità).

Inoltre, sono state aggiunte le condotte di falso che incidono sui poteri di controllo e ispettivi relativi ai soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, come stabilito dall’art. 1, comma 11, del D.L. n. 105/2019. Questo intervento mira a garantire un più rigido controllo dei reati che impattano sulla sicurezza nazionale cibernetica, facendo leva sulle capacità investigative della Procura distrettuale.

Un ulteriore emendamento riguarda la disciplina della proroga delle indagini preliminari. L’art. 406, comma 5-bis, c.p.p., introduce una deroga alla disciplina ordinaria basata sul contraddittorio delle parti. Questo permette agli inquirenti di ottenere la proroga inaudita altera parte. Inoltre, la durata massima delle indagini preliminari è stata estesa a due anni per tutti i principali reati informatici, tenuto conto della particolare difficoltà che tali indagini comportano.

I reati informatici più gravi, quali l’accesso abusivo aggravato a sistemi informatici, il danneggiamento fisico e logico di sistemi di pubblica utilità e i reati previsti dagli artt. 617-quater, 617-quinquies e 617-sexies c.p. (se commessi contro sistemi informatici o telematici di interesse pubblico, utilizzati dallo Stato o da imprese esercitanti servizi pubblici), sono stati inclusi in alcuni istituti speciali previsti dal D.L. n. 8/1991(“Norme per la protezione e il trattamento sanzionatorio di coloro che collaborano con la giustizia”).

Più precisamente si prevede, da un lato, che l’applicazione di speciali misure di protezione in favore di collaboratori di giustizia sia ammissibile anche per tali reati; dall’altro che la liberazione condizionale, la concessione dei permessi premio e l’ammissione alla misura della detenzione domiciliare siano disposte sentito il procuratore nazionale antimafia e antiterrorismo.

Inoltre, la Legge 90 modifica alcune disposizioni del D.L. 152/1991, estendendo anche ai reati informatici più gravi (per tali intendendosi quelli pocanzi indicati) la previsione per cui le intercettazioni sono disposte con decreto motivato se sussistono sufficienti indizi; vieppiù l’intercettazione tra presenti è consentita anche se non vi è motivo di ritenere che nei luoghi predetti si stia svolgendo l’attività criminosa.

Un altro rilevante intervento riguarda la disciplina delle speciali misure di protezione per i testimoni di giustizia, prevista dall’art. 11 della Legge n. 6 /2018. Per queste si prevede che, nei casi di reati informatici particolarmente gravi, la proposta di ammissione alle misure di protezione debba essere sottoposta al parere del Procuratore nazionale antimafia e antiterrorismo. Anche in questo caso, si evidenzia l’importanza attribuita alla dimensione cibernetica nell’ambito della sicurezza nazionale, con un rafforzamento delle misure di protezione per coloro che collaborano nelle indagini sui reati informatici.

Infine, l’art. 22 della Legge n. 90 del 2024 introduce importanti modifiche al decreto-legge 14 giugno 2021, n. 82, istitutivo dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Tra le principali novità, il comma 4 dell’art. 17 è stato modificato prevedendo che il personale dell’Agenzia, impegnato presso il CSIRT Italia, assuma la qualifica di pubblico ufficiale nello svolgimento delle proprie funzioni. Inoltre, viene stabilito che la trasmissione delle notifiche di incidenti informatici al Ministero dell’Interno adempie agli obblighi di denuncia previsti dall’art. 331 c.p.p.

Si prevede inoltre che, in caso di reati informatici ai danni di sistemi di interesse pubblico, oppure quando siano coinvolti soggetti rilevanti previsti dal Perimetro di Sicurezza Cibernetica o dal Decreto NIS (al riguardo rinviamo al nostro precedente approfondimento), l’Agenzia per la Cybersicurezza Nazionale debba immediatamente informare il Procuratore nazionale antimafia e antiterrorismo. Contestualmente, l’Agenzia è tenuta a proseguire con le attività necessarie per mitigare il rischio informatico.

Allo stesso modo, il Pubblico Ministero quando ha notizia di reati informatici di particolare gravità (v. art. 371, comma 4-bis c.p.p.), deve tempestivamente informare l’Agenzia per la Cybersicurezza e coordinarsi con il Ministero dell’Interno. Inoltre, è attribuito al pubblico ministero il potere di posticipare alcune attività di resilienza informatica qualora esse possano interferire con lo svolgimento delle indagini penali.

Infine, si prevede che, qualora si svolgano accertamenti tecnici irripetibili in relazione a reati informatici gravi e di interesse pubblico, l’Agenzia debba essere informata tempestivamente e possa partecipare alle indagini tecniche. Questa disposizione si applica anche nel caso in cui si proceda mediante incidente probatorio, garantendo così un coordinamento tra le attività investigative e le esigenze di cybersicurezza.

Conclusioni

In conclusione, è importante chiarire che la Legge n. 90 del 2024 non equipara i reati informatici a quelli di stampo mafioso. Sebbene la riforma abbia introdotto un significativo irrigidimento della risposta sanzionatoria, soprattutto in relazione ai reati più gravi che riguardano la sicurezza di dati e sistemi di interesse pubblico, non vi è alcuna assimilazione normativa tra i crimini informatici e quelli mafiosi. L’estensione dei poteri investigativi, come l’inclusione di alcuni reati informatici tra quelli di competenza della Procura distrettuale o l’adozione di misure speciali per reati che colpiscono infrastrutture critiche, è volta a garantire una maggiore protezione per la cybersicurezza nazionale.

Tuttavia, tale inasprimento non implica una parificazione tra le due categorie di reato, e sarebbe un errore concettuale considerarle sullo stesso piano. La riforma si limita a rafforzare la risposta dell’ordinamento giuridico ai crescenti rischi del cyberspazio, senza creare sovrapposizioni con la normativa antimafia.

Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex