In un contesto socio-economico sempre più caratterizzato dall’utilizzo delle tecnologie digitali, i reati informatici costituiscono per le imprese un fattore di rischio trasversale. Questo rischio si manifesta non solo per la possibilità di attacchi esterni, come un’intrusione informatica volta a compromettere la sicurezza dei dati aziendali, ma anche per condotte dannose provenienti dall’interno dell’impresa stessa.

Il legislatore, consapevole della crescente rilevanza di tali minacce, ha adeguato la normativa di settore, introducendo nuovi strumenti per contrastare tali fenomeni. Un esempio significativo è l’inclusione dei reati informatici tra i reati presupposto della responsabilità amministrativa dell’ente ai sensi dell’art. 24-bis del D. Lgs. 231/2001, una norma che è stata recentemente modificata per estendere la responsabilità anche ai reati connessi alla sicurezza cibernetica nazionale.

L’inclusione di tali fattispecie rappresenta un rilevante presidio di legalità nell’ambito aziendale, poiché essa si applica non solo alle imprese operanti nel settore digitale, ma a tutte le imprese che utilizzano strumenti informatici. Le aziende, infatti, sono oggi profondamente informatizzate, e l’abuso dei sistemi informatici, da parte di soggetti apicali o dipendenti, è una delle minacce più concrete e visibili. Non è raro, ad esempio, che reati informatici vengano commessi nell’interesse o a vantaggio dell’ente, come nel caso di un dipendente che, al fine di incrementare il fatturato, accede abusivamente a server aziendali contenenti informazioni riservate di altre aziende.

Analogamente, il dirigente che distrugge file per evitare una sanzione amministrativa a seguito di un’indagine di vigilanza agisce in modo da tutelare l’interesse dell’azienda. Questi comportamenti evidenziano come l’adozione di un sistema di gestione della sicurezza informatica, attraverso procedure operative e controlli adeguati, sia cruciale per prevenire tali condotte.

L’introduzione dei reati informatici nel catalogo della responsabilità amministrativa dell’ente ai sensi del D. Lgs. 231/2001 dimostra come la compliance penale svolga un ruolo centrale nell’innalzamento del livello di sicurezza aziendale. Attraverso l’implementazione di modelli organizzativi che regolino l’uso dei sistemi informatici e la definizione di procedure interne chiare (ad esempio, l’autorizzazione all’accesso ai sistemi, l’utilizzo dei privilegi di amministratore, o la gestione delle password), le imprese possono ridurre il rischio di essere coinvolte in reati di natura informatica, prevenendo così danni significativi sia dal punto di vista economico che reputazionale.

Parallelamente, sul piano della sicurezza cibernetica e della prevenzione delle minacce esterne, la legislazione ha subito importanti sviluppi, con un quadro normativo sempre più articolato. A livello europeo, l’approvazione delle Direttive NIS ha rappresentato un passaggio fondamentale, imponendo alle imprese l’adozione di misure tecniche e organizzative adeguate per la gestione dei rischi cibernetici, al fine di garantire la continuità operativa e minimizzare gli impatti degli incidenti. Oltre a ciò, la normativa prevede l’obbligo per le imprese di notificare tempestivamente alle autorità competenti eventuali incidenti con impatti rilevanti, evitando ritardi che potrebbero compromettere la sicurezza complessiva del sistema.

Infine, è importante evidenziare come questa normativa si sia progressivamente estesa anche ad altri settori critici, quali quello finanziario, rafforzando ulteriormente la protezione delle infrastrutture essenziali e dei servizi di pubblica utilità. L’obiettivo del presente articolo è fornire un quadro delle novità introdotte dalla Legge 90/2024, che ha ulteriormente ampliato la responsabilità amministrativa degli enti in relazione ai reati informatici e rafforzato il sistema di sanzioni previste per tali illeciti. Per una disamina di tutte le novità introdotte da tale legge, rinviamo al nostro precedente articolo.

I reati informatici presupposto della responsabilità dell’ente

L’art. 24-bis del D. Lgs. 231/2001, introdotto dalla legge 18 marzo 2008, n. 48, in attuazione della Convenzione di Budapest, ha incluso tra i reati presupposto della responsabilità amministrativa degli enti gran parte dei reati informatici. La normativa considera, in modo specifico, quei reati che richiedono necessariamente, per la loro consumazione, l’utilizzo di tecnologie dell’informazione e dei sistemi informatici.

Tuttavia, l’art. 24-bis non esaurisce la propria portata con riferimento ai soli reati informatici in senso stretto, ma abbraccia anche fattispecie che possono essere commesse o facilitate attraverso la rete o il web, quali i reati in materia di terrorismo (art. 25-quater), la pedopornografia virtuale (art. 25-quinquies) e il riciclaggio (art. 25-octies). Si tratta di reati che, pur non essendo strettamente legati all’informatica, trovano un terreno fertile di sviluppo nell’ambito digitale.

Per quanto concerne i reati informatici in senso stretto, è necessario sottolineare che essi sono volti a tutelare tre ambiti specifici: la riservatezza dei dati e delle comunicazioni informatiche, l’integrità dei dati e dei sistemi informatici, e la fede pubblica. Il primo di questi ambiti è protetto dall’art. 615-ter c.p., che punisce l’accesso abusivo a un sistema informatico o telematico. Questa fattispecie sanziona il comportamento di chi, senza autorizzazione, accede a un sistema informatico o telematico, o vi si trattiene oltre i limiti consentiti.

In merito a tale reato, la giurisprudenza ha spesso dibattuto sulla rilevanza della permanenza non autorizzata all’interno di un sistema informatico da parte di un soggetto che, pur essendo in possesso delle credenziali di accesso, utilizza il sistema per scopi diversi da quelli consentiti. Nella stessa area di protezione della riservatezza si collocano anche i reati di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.), i quali rappresentano condotte prodromiche rispetto all’accesso abusivo, nonché le fattispecie di intercettazione abusiva di comunicazioni informatiche o telematiche (artt. 617-quater e quinquies c.p.).

Il secondo ambito di tutela, relativo all’integrità dei dati e dei sistemi informatici, è presidiato dalle fattispecie di danneggiamento introdotte dal legislatore con la legge n. 48 del 2008. Il legislatore ha articolato la risposta sanzionatoria distinguendo tra il danneggiamento di dati, programmi o sistemi informatici privati e il danneggiamento di sistemi pubblici o di pubblica utilità.

Le fattispecie più significative in questo ambito sono gli artt. 635-bis e 635-ter c.p., che tutelano rispettivamente i dati e i programmi informatici privati e pubblici, con una protezione anticipata per questi ultimi, e gli artt. 635-quater e 635-quinquies c.p., che puniscono le condotte di danneggiamento mediante l’utilizzo di virus o altri programmi dannosi. Una novità rilevante introdotta di recente è l’art. 635-quater.1 c.p., il quale punisce la produzione, diffusione o semplice detenzione di programmi informatici progettati per danneggiare sistemi o dati, configurando una protezione avanzata per i sistemi di pubblica utilità.

Infine, tra i reati informatici, l’ultimo ambito di tutela riguarda la fede pubblica, con due fattispecie specifiche: l’art. 491-bis c.p., che estende la disciplina della falsità documentale anche al documento informatico, e l’art. 640-quinquies c.p., che punisce le frodi informatiche connesse all’alterazione di dati, specialmente se finalizzate a trarre un ingiusto profitto a discapito della pubblica amministrazione. Questi reati rappresentano una minaccia particolarmente rilevante nell’ambito dei rapporti con le pubbliche amministrazioni, ove l’utilizzo fraudolento di dati può compromettere la trasparenza e la correttezza delle transazioni pubbliche.

Accanto ai reati informatici tradizionali, il legislatore ha recentemente introdotto, attraverso il decreto-legge n. 105 del 2019 (convertito in legge n. 133 del 2019), un’ulteriore figura di reato volta a tutelare la sicurezza cibernetica nazionale. L’art. 24-bis del D. Lgs. 231/2001 è stato infatti modificato per includere la sanzione della falsa o omessa comunicazione di dati o informazioni rilevanti per la sicurezza nazionale, nell’ambito del cosiddetto Perimetro di Sicurezza Nazionale Cibernetica. Questo nuovo reato mira a garantire la tempestiva e accurata trasmissione di informazioni alle autorità preposte, al fine di prevenire o mitigare minacce alla sicurezza dei sistemi informatici che svolgono funzioni critiche per il Paese.

Reati informatici e 231. Le novità introdotte dalla Legge 90/2024

La Legge n. 90 del 2024 ha apportato ulteriori modifiche significative all’art. 24-bis del D. Lgs. 231/2001, inasprendo le sanzioni pecuniarie previste per i reati informatici e introducendo nuove fattispecie di reato, come l’estorsione informatica, comunemente associata all’uso di ransomware. Il legislatore ha così inteso rafforzare il sistema sanzionatorio per gli enti coinvolti in reati informatici, con un chiaro intento deterrente. Le sanzioni pecuniarie sono state aumentate, con un massimo che ora raggiunge le settecento quote, mentre per i reati di estorsione informatica è stata prevista una sanzione specifica che può arrivare fino a ottocento quote.

Un ulteriore aspetto rilevante introdotto dalla Legge n. 90 del 2024 è la previsione di sanzioni interdittive per gli enti condannati per reati di estorsione informatica, con la possibilità di interdizioni dall’esercizio dell’attività per un periodo non inferiore a due anni. Tale misura dimostra l’importanza che il legislatore attribuisce alla prevenzione di tali reati, i quali rappresentano una minaccia sempre più concreta per le imprese, specie quelle che operano nel settore critico delle infrastrutture digitali.

In sintesi, l’art. 24-bis del D. Lgs. 231/2001, grazie anche alle modifiche introdotte dalla Legge n. 90 del 2024, si configura come uno strumento fondamentale per la responsabilizzazione delle imprese nell’ambito della sicurezza informatica “interna” all’ente. Le nuove disposizioni, oltre a incrementare le sanzioni, rafforzano la capacità delle autorità di contrastare efficacemente il fenomeno dei reati informatici, ponendo l’accento sulla necessità per le imprese di adottare misure di compliance adeguate a prevenire tali condotte.

Modelli organizzativi per la prevenzione dei reati informatici

L’adozione di modelli organizzativi per la prevenzione dei reati informatici è un processo complesso che richiede un’attenta pianificazione e l’implementazione di strategie mirate a ridurre il rischio derivante dall’uso delle tecnologie informatiche all’interno dell’azienda. La creazione di questi modelli deve essere specificamente adattata alle caratteristiche della singola impresa, considerando la natura delle sue attività e il contesto tecnologico in cui opera.

Uno degli aspetti più critici nella costruzione di un modello organizzativo è la possibilità che un reato informatico venga commesso utilizzando un dispositivo aziendale, anche senza che sia stato identificato l’autore della condotta criminosa. L’impresa, in questi casi, potrebbe trovarsi a rispondere per un illecito, nonostante l’impossibilità di ricostruire con precisione la dinamica del fatto o l’identità del responsabile.

Per tale ragione, l’adozione di una disciplina interna rigorosa sull’uso dei sistemi informatici e dei software aziendali diventa un passaggio imprescindibile per una gestione efficace del rischio.

La prevenzione dei reati informatici richiede l’implementazione di una politica di sicurezza equilibrata che comprenda sia misure tecniche che misure organizzative. Prima di tutto, è necessario condurre una mappatura completa di tutti i componenti dell’infrastruttura IT dell’azienda, inclusi i software installati e i dispositivi utilizzati. Successivamente, si procede con un’analisi dei rischi (risk assessment), finalizzata a identificare le vulnerabilità presenti e a sviluppare procedure adeguate per la gestione dei rischi legati agli asset immateriali dell’azienda, come i dati e le informazioni riservate.

Un aspetto centrale nella costruzione del modello organizzativo è la corretta assegnazione di ruoli e responsabilità all’interno dell’azienda. Questo comprende la regolamentazione dell’accesso ai sistemi informatici mediante l’uso di registrazioni, autenticazioni e log sui server aziendali, oltre al controllo costante del loro utilizzo, come ad esempio la verifica dei software installati e il monitoraggio delle attività svolte sui sistemi aziendali. Questi controlli devono essere adeguati e continui per garantire una tracciabilità efficace delle operazioni compiute e prevenire usi impropri dei sistemi.

Nel contesto della prevenzione degli attacchi informatici, la normativa prevista dal D. Lgs. 231/2001 si affianca ad altre importanti disposizioni legislative, come la Direttiva NIS e il Regolamento generale sulla protezione dei dati (GDPR). Questi strumenti normativi pongono l’accento sulla accountability delle imprese, incentivandole a sviluppare sistemi di sicurezza avanzati per proteggere i propri dati e le proprie infrastrutture.

Tuttavia, in alcune circostanze, la disciplina del D. Lgs. 231/2001 non trova applicazione, come nel caso in cui l’impresa sia il bersaglio di un attacco esterno. In questi casi, non si configura un reato commesso “nell’interesse o a vantaggio” dell’ente, requisito essenziale per la responsabilità prevista dalla normativa.

I modelli organizzativi finalizzati alla prevenzione dei reati informatici devono concentrarsi su tre principali contesti di rischio. Il primo è quello degli accessi abusivi a sistemi informatici e telematici, spesso compiuti per ottenere dati sensibili, come le liste clienti o informazioni riservate.

Il secondo riguarda la manipolazione dei dati nel contesto dei rapporti con la Pubblica Amministrazione, come nei casi di sovrafatturazione o alterazione di dati fiscali per ottenere vantaggi indebiti. Il terzo contesto è legato a condotte di danneggiamento o interruzione del funzionamento dei sistemi informatici, finalizzate a causare disservizi o danni all’immagine aziendale.

Negli ultimi anni, la consapevolezza dell’importanza della cybersecurity è aumentata significativamente all’interno delle imprese. Diversi documenti e iniziative, come il Framework Nazionale per la Cybersecurity e la Data Protection, sviluppato dal CINI in collaborazione con università e centri di ricerca, offrono linee guida per migliorare i controlli di sicurezza informatica nelle aziende. Tra le principali misure raccomandate vi sono la gestione degli inventari di dispositivi e software, la protezione contro i malware, la gestione di password e account, nonché la formazione e sensibilizzazione del personale in materia di cybersicurezza.

In definitiva, l’adozione di un modello organizzativo che includa queste misure di prevenzione è cruciale per ridurre il rischio di commissione di reati informatici. L’implementazione di un sistema di sicurezza robusto non solo tutela i dati e i sistemi aziendali, ma contribuisce anche a migliorare la reputazione e la competitività dell’azienda, garantendo il rispetto delle normative vigenti.

Reati informatici e 231: l’importanza nella corporate compliance

In conclusione, la crescente complessità dei reati informatici e la loro incidenza sulle attività aziendali rendono indispensabile una consulenza legale qualificata per la valutazione dei rischi, la definizione di processi di sicurezza e la costruzione di un modello organizzativo adeguato a prevenire tali condotte illecite. Rivolgersi a un avvocato specializzato in diritto penale consente di affrontare queste problematiche con una prospettiva mirata e strategica, garantendo il rispetto della normativa vigente e la protezione del patrimonio aziendale.

Lo Studio Legale D’Agostino vanta una expertise trasversale nell’ambito della criminalità informatica e della corporate compliance, offrendo un supporto legale di alto livello che garantisce l’adozione di soluzioni efficaci e innovative per la gestione dei rischi cibernetici.

Grazie alla consolidata esperienza in questi settori, lo Studio è in grado di assicurare un elevato standard qualitativo, accompagnando le imprese nella realizzazione di un sistema di compliance solido e conforme alle esigenze normative più attuali, in materia di prevenzione dei reati informatici.